CN111277619B - 基于容器的编排文件的方法和装置 - Google Patents
基于容器的编排文件的方法和装置 Download PDFInfo
- Publication number
- CN111277619B CN111277619B CN201811481408.XA CN201811481408A CN111277619B CN 111277619 B CN111277619 B CN 111277619B CN 201811481408 A CN201811481408 A CN 201811481408A CN 111277619 B CN111277619 B CN 111277619B
- Authority
- CN
- China
- Prior art keywords
- container
- access request
- host
- scheduling system
- host machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于容器的编排文件的方法和装置。其中,该方法包括:容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;容器调度***基于处理后的访问请求对宿主机进行身份认证;在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件。本发明解决了由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。
Description
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种基于容器的编排文件的方法和装置。
背景技术
随着容器技术的快速发展,越来越多的容器开始运行在物理机及虚拟机之上,同时越来越多的IaaS厂商也逐步在其云主机之上搭建容器集群提供类PaaS服务,其中Serverless的容器服务开始崭露头角,这种模式下用户不用关注容器的服务器及调度只需要传入容器编排文件即可,云厂商根据用户传入的编排文件进行容器调度,目前主流的容器编排框架比如kubernetes内部组件通信往往需要证书,而证书文件通常情况会比较大,用户传入证书可能受限于云平台的约束,同时也存在安全风险。
通常在云主机上部署容器编排文件可以通过业界标准的UserData即用户数据传入,云主机内部通过cloudinit来将编排文件按需进行处理,但是该方案中由于UserData的数据大小是受限的,目前业界一般会限制在16k,而主流的容器编排框架一般会传入证书信息可能会超过16k,这种方式下一般的解决方案是压缩,开发成本较高。并且,传输过程不加密,数据存在被窃取及篡改问题,安全性不够高,存在证书泄漏及被篡改的风险。
针对上述由于现有技术在云主机上部署容器编排文件时存在的数据安全的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种基于容器的编排文件的方法和装置,以至少解决由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。
根据本发明实施例的一个方面,提供了一种基于容器的编排文件的方法,包括:容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;容器调度***基于处理后的访问请求对宿主机进行身份认证;在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件。
可选的,在容器调度***接收容器的宿主机发起的访问请求之前,该方法还包括:宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求;容器调度***接收处理后的访问请求。
进一步地,可选的,在对访问请求进行校验处理的情况下,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求,包括:虚拟交换机接收宿主机发送的访问请求;虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制。
可选的,在对访问请求还进行地址更新的情况下,在虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制之后,该方法还包括:负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给容器调度***。
进一步地,可选的,容器调度***基于处理后的访问请求对宿主机进行身份认证,包括:容器调度***基于负载均衡器发送的修改后的Tcp报文中的套接字描述器,对宿主机进行身份认证。
可选的,容器调度***通过与宿主机上的Agent来对容器进行调度。
根据本发明实施例的另一方面,还提供了一种基于容器的编排文件的装置,包括:接收模块,用于接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;认证模块,用于基于处理后的访问请求对宿主机进行身份认证;编排模块,用于在宿主机通过身份认证的情况下,允许在宿主机上编排文件。
可选的,该装置还包括:发送模块,用于在容器调度***接收容器的宿主机发起的访问请求之前,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求;请求接收模块,用于接收处理后的访问请求。
进一步地,可选的,发送模块,包括:请求接收单元,用于在对访问请求进行校验处理的情况下,虚拟交换机接收宿主机发送的访问请求;校验单元,用于虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制。
可选的,该装置还包括:修改模块,用于在对访问请求还进行地址更新的情况下,在虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制之后,负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给容器调度***。
根据本发明实施例的又一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述基于容器的编排文件的方法。
在本发明实施例中,采用用户传入的容器编排数据经过云管控***后会被存储在容器调度***,容器调度***通过与容器宿主机此处是云主机上的Agent通信来进行容器的管理,Agent与容器调度***是双向通信的方式,通过容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;容器调度***基于处理后的访问请求对宿主机进行身份认证;在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件,达到了免去将证书传到云主机带来的额外工作及风险的目的,从而实现了减少传入的容器编排数据的大小,降低证书传递过程中的安全风险的技术效果,进而解决了由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种基于容器的编排文件的方法的计算机终端的硬件结构框图;
图2是根据本发明实施例一的基于容器的编排文件的方法的流程图;
图3是根据本发明实施例一的一种基于容器的编排文件的方法的示意图;
图4是根据本发明实施例二的基于容器的编排文件的装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请涉及的技术名词:
IaaS,基础设施即服务是消费者使用处理、储存、网络以及各种基础运算资源,部署与执行操作***或应用程序等各种软件。
PaaS,平台即服务是一种云计算服务,提供运算平台与解决方案服务。
Serverless,无服务器架构是基于互联网的***,其中应用开发不使用常规的服务进程。相反,它们仅依赖于第三方服务客户端逻辑和服务托管远程过程调用的组合。
kubernetes,是用于自动部署、扩展和管理容器化应用程序的开源***。
vSwitch,指虚拟交换机或虚拟网络交换机,工作在二层数据网络,通过软件方式实现物理交换机的二层(和部分三层)网络功能。
SLB,服务器负载均衡器。
实施例1
根据本发明实施例,还提供了一种基于容器的编排文件的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种基于容器的编排文件的方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的基于容器的编排文件的方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的基于容器的编排文件的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的基于容器的编排文件的方法。图2是根据本发明实施例一的基于容器的编排文件的方法的流程图。
步骤S202,容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;
步骤S204,容器调度***基于处理后的访问请求对宿主机进行身份认证;
步骤S206,在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件。
其中,结合步骤S202至步骤S206,图3是根据本发明实施例一的一种基于容器的编排文件的方法的示意图,如图3所示,本申请实施例提供的基于容器的编排文件的方法可以适用于云网络技术,其中,本申请实施例提供的基于容器的编排文件的方法由容器调度***、网络设备和云主机(即,本申请实施例中的宿主机)组成的网络通信***实现,其中,网络设备包括:虚拟交换机vSwitch(后续简称vSwitch)和服务器负载均衡器SLB(后续简称SLB);
具体的,用户传入的容器编排数据经过云管控***后会被存储在容器调度***,容器调度***通过与容器宿主机此处是云主机上的Agent通信来进行容器的管理,Agent与容器调度***是双向通信,本申请实施例提供的基于容器的编排文件的方法提供一种替代传统证书做通信信任的机制,首先,容器的宿主机发起对容器调度***的访问,网络请求首先经过vSwitch,vSwitch可以对云主机的ip地址,mac地址进行合法性校验,并且对容器调度***的域名打开访问控制保证云主机可以通过内网发起对容器调度***的访问。
然后,vSwitch校验通过过将请求路由到负载均衡设备,负载均衡设备可以修改TCP option将该TCP报文的socket fd传递给容器调度***,容器调度***可以据此判断发起请求的容器宿主机的身份是否合法,如果合法则信任该云主机,通信将免证书认证。由上可知,本申请实施例提供的基于容器的编排文件的方法中所要求保护的容器编排数据的整个过程将不再需要证书参与。
在本发明实施例中,采用用户传入的容器编排数据经过云管控***后会被存储在容器调度***,容器调度***通过与容器宿主机此处是云主机上的Agent通信来进行容器的管理,Agent与容器调度***是双向通信的方式,通过容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;容器调度***基于处理后的访问请求对宿主机进行身份认证;在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件,达到了免去将证书传到云主机带来的额外工作及风险的目的,从而实现了减少传入的容器编排数据的大小,降低证书传递过程中的安全风险的技术效果,进而解决了由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。
可选的,在步骤S202中容器调度***接收容器的宿主机发起的访问请求之前,本申请实施例提供的基于容器的编排文件的方法还包括:
步骤S200,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求;
步骤S201,容器调度***接收处理后的访问请求。
进一步地,可选的,在对访问请求进行校验处理的情况下,步骤S200中宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求,包括:虚拟交换机接收宿主机发送的访问请求;虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制。
具体的,容器的宿主机发起对容器调度***的访问,网络请求首先经过vSwitch,vSwitch可以对云主机的ip地址,mac地址进行合法性校验,并且对容器调度***的域名打开访问控制保证云主机可以通过内网发起对容器调度***的访问。
可选的,在对访问请求还进行地址更新的情况下,在虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制之后,该方法还包括:负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给容器调度***。
进一步地,可选的,容器调度***基于处理后的访问请求对宿主机进行身份认证,包括:容器调度***基于负载均衡器发送的修改后的Tcp报文中的套接字描述器,对宿主机进行身份认证。
具体的,vSwitch校验通过过将请求路由到负载均衡设备,负载均衡设备可以修改TCP option将该TCP报文的socket fd传递给容器调度***,容器调度***可以据此判断发起请求的容器宿主机的身份是否合法,如果合法则信任该云主机,通信将免证书认证。
其中,vSwitch及SLB转发请求包到管控***后,容器管控***可以根据包内容解析出内网ip及tunnel id,根据ip及tunnel id是可以在管控唯一确定一个云主机,如果云主机在管控存在,可以第一步确定该云主机是合法的,以使得增强安全性。
可选的,容器调度***通过与宿主机上的Agent来对容器进行调度。
除此之外,从云主机内部发起的访问可以通过签名认证的方式来保证双方信任,这个过程需要容器的agent发起一个签名认证,走相同的网络链路到容器管控,管控可以验证签名进而进一步增强安全。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的基于容器的编排文件的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述基于容器的编排文件的方法的装置,如图4所示,图4是根据本发明实施例二的基于容器的编排文件的装置的结构示意图,该装置包括:
接收模块42,用于接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;认证模块44,用于基于处理后的访问请求对宿主机进行身份认证;编排模块46,用于在宿主机通过身份认证的情况下,允许在宿主机上编排文件。
可选的,该装置还包括:发送模块,用于在容器调度***接收容器的宿主机发起的访问请求之前,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求;请求接收模块,用于接收处理后的访问请求。
进一步地,可选的,发送模块,包括:请求接收单元,用于在对访问请求进行校验处理的情况下,虚拟交换机接收宿主机发送的访问请求;校验单元,用于虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制。
可选的,该装置还包括:修改模块,用于在对访问请求还进行地址更新的情况下,在虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制之后,负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给容器调度***。
实施例3
根据本发明实施例的又一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述实施例1中的基于容器的编排文件的方法。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的基于容器的编排文件的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:容器调度***接收经过如下任一种或多种方式处理后的访问请求:校验处理、地址更新、加密处理,其中,访问请求由容器的宿主机发起;容器调度***基于处理后的访问请求对宿主机进行身份认证;在宿主机通过身份认证的情况下,容器调度***允许在宿主机上编排文件。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在容器调度***接收容器的宿主机发起的访问请求之前,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求;容器调度***接收处理后的访问请求。
进一步地,可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在对访问请求进行校验处理的情况下,宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到处理后的访问请求,包括:虚拟交换机接收宿主机发送的访问请求;虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在对访问请求还进行地址更新的情况下,在虚拟交换机对宿主机的地址进行校验,并打开容器调度***的访问控制之后,负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给容器调度***。
进一步地,可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:容器调度***基于处理后的访问请求对宿主机进行身份认证,包括:容器调度***基于负载均衡器发送的修改后的Tcp报文中的套接字描述器,对宿主机进行身份认证。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:容器调度***通过与宿主机上的Agent来对容器进行调度。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种基于容器的编排文件的方法,包括:
宿主机发送访问请求至虚拟交换机和/或负载均衡器进行校验处理、地址更新、加密处理,得到所述处理后的访问请求,其中,所述地址更新为对所述宿主机的地址进行更新;
容器调度***接收所述处理后的访问请求;
所述容器调度***基于处理后的所述访问请求对所述宿主机进行身份认证;
在所述宿主机通过所述身份认证的情况下,所述容器调度***允许在所述宿主机上编排文件。
2.根据权利要求1所述的方法,其中,在对所述访问请求进行校验处理的情况下,所述宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理,得到所述处理后的访问请求,包括:
所述虚拟交换机接收所述宿主机发送的所述访问请求;
所述虚拟交换机对所述宿主机的地址进行校验,并打开所述容器调度***的访问控制。
3.根据权利要求2所述的方法,其中,在对所述访问请求还进行所述地址更新的情况下,在所述虚拟交换机对所述宿主机的地址进行校验,并打开所述容器调度***的访问控制之后,所述方法还包括:
所述负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给所述容器调度***。
4.根据权利要求3所述的方法,其中,所述容器调度***基于处理后的所述访问请求对所述宿主机进行身份认证,包括:
所述容器调度***基于所述负载均衡器发送的修改后的Tcp报文中的套接字描述器,对所述宿主机进行所述身份认证。
5.根据权利要求1至4中任意一项所述的方法,其中,所述容器调度***通过与所述宿主机上的Agent来对所述容器进行调度。
6.一种基于容器的编排文件的装置,包括:
接收模块,用于接收宿主机发送给容器调度***经过处理后的访问请求,其中,所述访问请求由容器的宿主机发起,其中,所述访问请求为通过虚拟交换机和/或负载均衡器进行校验处理、地址更新、加密处理之后得到的访问请求,所述地址更新为对所述宿主机的地址进行更新;
认证模块,用于基于处理后的所述访问请求对所述宿主机进行身份认证;
编排模块,用于在所述宿主机通过所述身份认证的情况下,允许在所述宿主机上编排文件。
7.根据权利要求6所述的装置,其中,所述宿主机用于在对所述访问请求进行校验处理的情况下,所述虚拟交换机接收所述宿主机发送的所述访问请求;所述宿主机还用于所述虚拟交换机对所述宿主机的地址进行校验,并打开所述容器调度***的访问控制。
8.根据权利要求7所述的装置,其中,所述装置还包括:
修改模块,用于在对所述访问请求还进行所述地址更新的情况下,在所述虚拟交换机对所述宿主机的地址进行校验,并打开所述容器调度***的访问控制之后,所述负载均衡器修改Tcp报文,并将修改后的Tcp报文中的套接字描述器发送给所述容器调度***。
9.一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1所述的基于容器的编排文件的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811481408.XA CN111277619B (zh) | 2018-12-05 | 2018-12-05 | 基于容器的编排文件的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811481408.XA CN111277619B (zh) | 2018-12-05 | 2018-12-05 | 基于容器的编排文件的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111277619A CN111277619A (zh) | 2020-06-12 |
| CN111277619B true CN111277619B (zh) | 2022-06-03 |
Family
ID=71001330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811481408.XA Active CN111277619B (zh) | 2018-12-05 | 2018-12-05 | 基于容器的编排文件的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111277619B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357296A (zh) * | 2015-10-30 | 2016-02-24 | 河海大学 | 一种Docker云平台下弹性缓存*** |
| EP3037964A1 (en) * | 2014-12-22 | 2016-06-29 | Rovio Entertainment Ltd | Virtual application manager in a cloud computing environment |
| CN107368358A (zh) * | 2016-05-11 | 2017-11-21 | 华为技术有限公司 | 实现客户端所在虚拟机在不同主机间迁移的装置和方法 |
| CN107426034A (zh) * | 2017-08-18 | 2017-12-01 | 国网山东省电力公司信息通信公司 | 一种基于云平台的大规模容器调度***及方法 |
| CN107508795A (zh) * | 2017-07-26 | 2017-12-22 | 中国联合网络通信集团有限公司 | 跨容器集群的访问处理装置及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10389598B2 (en) * | 2015-10-29 | 2019-08-20 | Cisco Technology, Inc. | Container management and application ingestion engine |
| US10162627B2 (en) * | 2016-02-29 | 2018-12-25 | Red Hat, Inc. | Maintaining build secrets in a build container |
-
2018
- 2018-12-05 CN CN201811481408.XA patent/CN111277619B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3037964A1 (en) * | 2014-12-22 | 2016-06-29 | Rovio Entertainment Ltd | Virtual application manager in a cloud computing environment |
| CN105357296A (zh) * | 2015-10-30 | 2016-02-24 | 河海大学 | 一种Docker云平台下弹性缓存*** |
| CN107368358A (zh) * | 2016-05-11 | 2017-11-21 | 华为技术有限公司 | 实现客户端所在虚拟机在不同主机间迁移的装置和方法 |
| CN107508795A (zh) * | 2017-07-26 | 2017-12-22 | 中国联合网络通信集团有限公司 | 跨容器集群的访问处理装置及方法 |
| CN107426034A (zh) * | 2017-08-18 | 2017-12-01 | 国网山东省电力公司信息通信公司 | 一种基于云平台的大规模容器调度***及方法 |
Non-Patent Citations (4)
| Title |
|---|
| Arsh Modak ; S. D. Chaudhary."Techniques to Secure Data on Cloud: Docker Swarm or Kubernetes?".《2018 Second International Conference on Inventive Communication and Computational Technologies (ICICCT)》.2018, * |
| Salini Suresh ; L. Manjunatha Rao."A container based collaborative research cloud framework with a hybrid access control approach for enhanced isolation".《2017 International Conference on Electrical, Electronics, Communication, Computer, and Optimization Techniques (ICEECCOT)》.2018, * |
| 一种基于云端软件的PaaS平台管理***设计与实现;王伟等;《信息网络安全》;20180210(第02期);全文 * |
| 一种基于容器的安全云计算平台设计;孔同等;《科研信息化技术与应用》;20170120(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111277619A (zh) | 2020-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| US9864608B2 (en) | Client authentication during network boot | |
| CN110944330B (zh) | Mec平台部署方法及装置 | |
| CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| CN111010372A (zh) | 区块链网络身份认证***、数据处理方法及网关设备 | |
| RU2595904C2 (ru) | Способы и устройство для крупномасштабного распространения электронных клиентов доступа | |
| US9059974B2 (en) | Secure mobile app connection bus | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN106161496B (zh) | 终端的远程协助方法及装置、*** | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN110601896B (zh) | 一种基于区块链节点的数据处理方法以及设备 | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN112804354B (zh) | 跨链进行数据传输的方法、装置、计算机设备和存储介质 | |
| Kravets et al. | Mobile security solution for enterprise network | |
| CN112632573B (zh) | 智能合约执行方法、装置、***、存储介质及电子设备 | |
| CN110071911A (zh) | 信息传输方法及装置、证书更新的方法及装置 | |
| CN114500120A (zh) | 一种公共云的扩展方法、设备、***及存储介质 | |
| TW201340739A (zh) | 電子存取用戶端之大規模散佈之方法及裝置 | |
| CN107623671B (zh) | 一种软件许可服务实现方法 | |
| CN110351721A (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
| US11231920B2 (en) | Electronic device management | |
| CN105323138A (zh) | 私有云端路由服务器及智能型装置客户端架构 | |
| CN111277619B (zh) | 基于容器的编排文件的方法和装置 | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230613 Address after: Room 1-2-A06, Yungu Park, No. 1008 Dengcai Street, Sandun Town, Xihu District, Hangzhou City, Zhejiang Province Patentee after: Aliyun Computing Co.,Ltd. Address before: Box 847, four, Grand Cayman capital, Cayman Islands, UK Patentee before: ALIBABA GROUP HOLDING Ltd. |
|
| TR01 | Transfer of patent right |