CN116011000B - 访问方法、装置、及计算设备 - Google Patents
访问方法、装置、及计算设备 Download PDFInfo
- Publication number
- CN116011000B CN116011000B CN202310303212.6A CN202310303212A CN116011000B CN 116011000 B CN116011000 B CN 116011000B CN 202310303212 A CN202310303212 A CN 202310303212A CN 116011000 B CN116011000 B CN 116011000B
- Authority
- CN
- China
- Prior art keywords
- information
- target
- pod
- key
- management end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012795 verification Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000002372 labelling Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种访问方法、装置、及计算设备。其中,应用于k8s中部署的目标插件中,该方法包括:接收目标Pod针对密钥信息的获取请求;将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;从所述密钥管理端获取所述密钥信息;将所述密钥信息发送至所述目标Pod。本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过外部服务器基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及一种访问方法、装置、及计算设备。
背景技术
Kubernetes,(简称k8s)是一种开源的容器编排引擎,它支持自动化部署、大规模可伸缩以及应用容器化管理等功能。k8s允许创建多个容器,每个容器里面可以运行一个应用实例。
Pod是k8s中的基本调度单元,为了保证访问安全性,Pod可以基于密钥信息进行访问操作,例如访问对应的服务端,获取对应的数据或者完成相应的服务。
然而,k8s的密钥信息是存储在k8s的secret(密码)资源中,在secret资源仅仅做一次base64编码,这导致通过简单的base64反编码工具即可以从secret资源获取到密钥信息,进而基于密钥信息进行访问攻击。
发明内容
本申请实施例提供一种访问方法、装置、及计算设备,用以解决现有技术中密钥信息容易被窃取的问题。
第一方面,本申请实施例中提供了一种访问方法,应用于k8s中部署的目标插件中,包括:
接收目标Pod针对密钥信息的获取请求;
将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;
从所述密钥管理端获取所述密钥信息;
将所述密钥信息发送至所述目标Pod。
第二方面,本申请实施例中提供了一种访问方法,应用于密钥管理端,包括:
接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取所述获取请求中的Pod信息;
基于所述Pod信息生成所述密钥信息;
将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod。
第三方面,本申请实施例中提供了一种访问方法,应用于目标Pod,包括:
发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
基于所述密钥信息执行访问操作。
第四方面,本申请实施例中提供了一种访问装置,应用于k8s中部署的目标插件中,包括:
接收模块,用于接收目标Pod针对密钥信息的获取请求;
发送模块,用于将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;将所述密钥信息发送至所述目标Pod;
获取模块,用于从所述密钥管理端获取所述密钥信息。
第五方面,本申请实施例中提供了一种访问装置,应用于密钥管理端,包括:接收模块,用于接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取模块,用于获取所述获取请求中的Pod信息;
生成模块,用于基于所述Pod信息生成所述密钥信息;
发送模块,用于将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod。
第六方面,本申请实施例中提供了一种访问装置,应用于目标Pod,包括:
发送模块,用于发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收模块,用于接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
访问模块,用于基于所述密钥信息执行访问操作。
第七方面,本申请实施例中提供了一种计算设备,包括处理组件以及存储组件;
所述存储组件存储一个或多个计算机指令;所述一个或多个计算机指令用以被所述处理组件调用执行,实现如第一方面或者第二方面或者第三方面所述的访问方法。
第八方面,本申请实施例中提供了一种计算机存储介质,存储有计算机程序,所述计算机程序被计算机执行时,实现如第一方面或者第二方面或者第三方面所述的访问方法。
本申请实施例提供一种访问方法、装置、及计算设备,通过k8s中部署的目标插件接收目标Pod针对密钥信息的获取请求;将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;从所述密钥管理端获取所述密钥信息;将所述密钥信息发送至所述目标Pod。本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过外部服务器基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请提供的访问方法一个实施例的流程图;
图2示出了本申请提供的访问方法另一个实施例的流程图;
图3示出了本申请提供的访问方法又一个实施例的流程图;
图4示出了本申请提供的访问装置一个实施例的结构示意图;
图5示出了本申请提供的访问装置另一个实施例的结构示意图;
图6示出了本申请提供的访问装置另一个实施例的结构示意图;
图7示出了与本申请提供的计算设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
在本申请的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如101、102等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
承接上述背景技术,k8s的密钥信息是存储在k8s的secret(密码)资源中,通过在配置yaml文件将secret资源中的密钥信息配置给Pod,但由于在secret资源对密钥信息仅仅做一次base64编码,这导致通过简单的base64反编码工具即可以从secret资源获取到密钥信息,进而基于密钥信息进行访问攻击。
对此,本申请实施例提供一种访问方法、装置、及计算设备,通过k8s中部署的目标插件接收目标Pod针对密钥信息的获取请求;将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;从所述密钥管理端获取所述密钥信息;将所述密钥信息发送至所述目标Pod。本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过外部服务器基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
图1为本申请一实施例提供的访问方法的流程示意图,本实施例的执行主体可以为目标插件,其中,该目标插件可以部署于k8s中。如图2所示,本实施例的方法可以包括:
101、接收目标Pod针对密钥信息的获取请求。
其中,目标Pod可以是发送针对密钥信息的获取请求至目标插件的任一Pod,且目标Pod运行于k8s中,目标Pod可以基于密钥信息访问对应的服务端,来获取对应的数据或者获取对应的服务,其中,密钥信息可以与该服务端的API接口相对应,即只有通过密钥信息才能访问该服务端。
102、将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息。
其中,该密钥管理端可以是密钥管理服务(Key Management Service,简称KMS)、身份与访问管理***(Identity and Access Management,简称IAM)等用于生成和管理密钥的密钥管理端,其中,获取请求中包括有目标Pod的Pod信息,密钥管理端可以基于Pod信息生成唯一的且与目标Pod相对应的密钥信息。
需要说明的是,该密钥管理端与目标Pod想要访问的服务端之间是有交互的,密钥管理端生成密钥信息之后,可以将该密钥信息同步至服务端,从而服务端可以允许目标Pod基于密钥信息访问该服务端。
103、从所述密钥管理端获取所述密钥信息。
104、将所述密钥信息发送至所述目标Pod。
进一步的,目标插件可以从密钥管理端获取该密钥信息,以及将密钥信息发送至目标Pod,以便目标Pod可以基于密钥信息来访问对应的服务端。
本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过密钥管理端基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
一些实施例中,在目标插件将获取请求发送至密钥管理端的过程中,需要对目标Pod的Pod信息进行验证,所述将所述获取请求发送至密钥管理端包括:验证所述k8s的命名空间中是否运行所述目标Pod;在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端。
需要说明的是,在k8s运行的多个Pod中,为了提高密钥信息的安全性和获取密钥信息的快捷性,只有运行于k8s命名空间的Pod才可以与目标插件进行交互以获取对应的密钥信息,因此,在目标插件接收到获取请求之后,首先需要验证发送获取请求的目标Pod是否为运行于命名空间的Pod。并且只有在目标Pod为运行于命名空间的Pod之后,才会将获取请求发送至密钥管理端。
可选地,验证所述k8s的命名空间中是否运行所述目标Pod可以实现为:通过预先配置的Pod信息获取权限获取运行于所述k8s的命名空间的多个Pod的Pod信息;基于所述多个Pod的Pod信息,判断所述多个Pod中是否包括所述目标Pod。
其中,该Pod信息获取权限可以是通过文件配置而来,可选地,可以通过yaml文件对目标插件的权限进行配置。
可选地,目标插件的配置过程可以实现为:首先定义一个文件,用于标识目标插件,即定义目标插件的主要信息,该主要信息包括目标插件的接口和类型,启动一个Pod,该Pod用于配置成为scp,其中该Pod可以是运行于k8s中的任一个Pod;
利用配置文件将用于标识目标插件的主要信息配置给该Pod,该配置文件中包括有命名空间中的Pod信息。
可以理解的是,由于目标插件用于实现k8s中控制器的功能,因此,需要对目标插件配置控制器对应的权限,控制器的主要功能包括有获取Pod信息的权限、监控的Pod权限以及列出Pod信息的权限,因此需要获取命名空间中的Pod信息,进一步的,为该目标插件申请标识。
进一步的,目标插件可以在接收到获取请求之后,通过预先配置的Pod信息获取权限获取运行于所述k8s的命名空间的多个Pod的Pod信息,基于所述多个Pod的Pod信息,判断所述多个Pod中是否包括所述目标Pod。
除了需要验证目标Pod是否运行于命名空间中之外,还需要验证认证标志,所述在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端可以实现为:获取预先为所述目标Pod分配的认证标志;确定所述认证标志是否在有效时间内;在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息。
其中,认证标志是在Pod每一次启动时就分配的,并且会默认一个有效时间,在Pod运行过程中如果发现过了有效时间就会重新申请,其中,该认证标志包括有认证标志创建时间,认证标志有效时间等,进而目标插件可以基于认证标志创建时间,认证标志有效时间并结合当前时间来判断认证标志是否在有效时间内,并且在认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息。
其中,由上文所述证标志是在Pod每一次启动时就分配的,如果不验证该认证标志,可能会出现Pod没有在运行的情况,那么即使将获取请求对应的密钥信息发送至目标Pod,目标Pod也接收不到该密钥信息,因此,由于在目标Pod运行且认证标志过期的情况下,目标Pod会重新请求认证标志,从而如果认证标志过期,则可以说明目标Pod没有在运行。
可选地,该认证标志除了可以在目标插件中进行验证,还可以在密钥管理管对该认证标志进行验证,该方法还包括:获取认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;将所述公钥和所述第一目标信息发送至密钥管理端;所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成述密钥信息包括:所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端通过公钥解析所述认证标志以获取对应的第二目标信息,在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成所述密钥信息。
其中,认证标志对应的公钥可以是在目标插件建立完成之后,从k8s中获取的,且认证标志也是基于该公钥对应的私钥生成的,因此,密钥管理端可以基于该公钥来解析该认证标志。
其中,目标插件在获取公钥之后,会将该公钥发送至密钥管理端。
进一步的,在目标Pod运行于命名空间且所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,密钥管理端利用公钥解析所述认证标志。
可选地,密钥管理端利用公钥解析所述认证标志可以实现为:首先,目标插件和密钥管理端会约定好摘要算法,密钥管理端在接收到认证标志之后,会利用该摘要算法将认证标志转化成一个摘要信息,而由于认证标志是基于公钥对应的私钥生成的,因此,密钥管理端可以基于该公钥解析该摘要信息,即解析该认证标志。
需要说明的是,密钥管理端可以存储有多个k8s对应的公钥,在接收到认证标志的时候,可以基于预设加密算法确定出认证标志对应的k8s,在利用该k8s对应的公钥来解析该认证标志,其中,预设加密算法可以是散列函数(也算法、对称加密算法、非对称加密算法、组合加密技术等。
此外,在目标插件创建完成且启动之后,目标插件还可以获取k8s的节点信息,k8s的多个Pod信息、k8s对应的监控命名空间标识等等第一目标信息,并且将上述第一目标信息同步至密钥管理端,进一步的,认证标志中还可以包括有上述信息,为了保证认证标志的验证安全性,在解析玩认证标志之后,获取认证标志对应的第二目标信息,第二目标信息也可以包括k8s的多个Pod信息、k8s对应的监控命名空间标识等等,密钥管理端可以对第一目标信息和第二目标信息是否一直进行验证,在一致的情况下,说明认证标志验证成功,可以基于目标插件之前发送的Pod信息生成密钥信息,并将该密钥信息发送至目标插件。
需要说明的是,该密钥信息包括有密钥生成时间以及密钥有效时间,并且密钥管理端在生成密钥信息之后,会将该密钥信息、密钥生成时间以及密钥有效时间同步至服务端,以便目标Pod在基于密钥信息访问服务端时,服务端可以基于密钥生成时间以及密钥有效时间,并结合当前时间判断该密钥信息是否在有效时间内,在该密钥信息在有效时间内的情况下,返回对应的数据或者提供对应的服务。
此外,在目标Pod重建或者重启的时候,目标Pod对应的认证标志会更新,可选地,所述方法还包括:通过预先配置的Pod信息检测权限检测针对目标Pod的更新操作;响应于所述更新操作,更新所述目标Pod对应的认证标志。
由上文所述,目标插件配置有检测Pod的权限,在Pod有重建或者重启的过程时,目标插件会重新会Pod申请认证标志,并且会及时更新已有的认证标志。
图2为本申请一实施例提供的访问方法的流程示意图,本实施例的执行主体可以为密钥管理端,其中,该密钥管理端可以用于生成密钥信息。如图2所示,本实施例的方法可以包括:
201、接收目标插件发送的目标Pod针对密钥信息的获取请求。
202、获取所述获取请求中的Pod信息。
203、基于所述Pod信息生成所述密钥信息。
204、将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod。
密钥管理端的执行过程在上文已详细说明,在此不在赘述。
本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过密钥管理端基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
可选地,该方法还包括:接收所述目标插件发送的所述目标Pod对应的认证标志;所述认证标志为所述目标插件验证所述认证标志在有效时间内的情况下而发送的;所述基于所述Pod信息生成所述密钥信息;在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息;
可选地,该方法还包括:
接收所述目标插件发送的所述认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;
所述在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息包括:
基于所述公钥解析所述认证标志,以获取所述认证标志当前对应的第二目标信息;
在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成述密钥信息。
图3为本申请一实施例提供的访问方法的流程示意图,本实施例的执行主体可以为目标Pod,如图3所示,本实施例的方法可以包括:
301、发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息。
302、接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的。
303、基于所述密钥信息执行访问操作。
目标Pod的执行过程在上文已详细说明,在此不在赘述。
本申请实施例提供的技术方案通过在目标Pod请求密钥信息的情况下,通过密钥管理端基于目标Pod信息对应生成密钥信息,从而避免了非目标Pod通过非法手段获取密钥信息,保证了目标Pod的访问安全。
本申请实施例还提供一种访问装置。图4示出了本申请实施例提供的文件标注装置的一个实施例的示意图。如图4所示,该装置应用于k8s中部署的目标插件中,包括:接收模块401、发送模块402、获取模块403。
接收模块401,用于接收目标Pod针对密钥信息的获取请求;
发送模块402,用于将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;将所述密钥信息发送至所述目标Pod;
获取模块403,用于从所述密钥管理端获取所述密钥信息。
可选地,发送模块402,具体用于:
验证所述k8s的命名空间中是否运行所述目标Pod;
在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端。
可选地,发送模块402,进一步具体用于:
获取预先为所述目标Pod分配的认证标志;
确定所述认证标志是否在有效时间内;
在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息。
可选地,发送模块402,进一步具体用于:
获取认证标志对应的公钥;
将所述公钥发送至密钥管理端;
所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成述密钥信息包括:
所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端解析所述认证标志获取所述认证标志当前对应的第二公钥,在所述公钥与所述第二公钥一致的情况下,基于所述Pod信息生成述密钥信息。
可选地,发送模块402,进一步具体用于:
通过预先配置的Pod信息获取权限获取运行于所述k8s的命名空间的多个Pod的Pod信息;
基于所述多个Pod的Pod信息,判断所述多个Pod中是否包括所述目标Pod。
可选地,发送模块402,进一步具体用于:
通过预先配置的Pod信息检测权限检测针对目标Pod的更新操作;
响应于所述更新操作,更新所述目标Pod对应的认证标志。
图4所述的访问装置可以执行图1所示实施例所述的访问方法,其实现原理和技术效果不再赘述。对于上述实施例中的访问装置其中各个模块、单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例还提供一种访问装置。图5示出了本申请实施例提供的文件标注装置的一个实施例的示意图。如图5所示,该装置应用于密钥管理端,包括:接收模块501、获取模块502、生成模块503、发送模块504。
接收模块501,用于接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取模块502,用于获取所述获取请求中的Pod信息;
生成模块503,用于基于所述Pod信息生成所述密钥信息;
发送模块504,用于将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod。
可选地,接收模块501,还用于接收所述目标插件发送的所述目标Pod对应的认证标志;所述认证标志为所述目标插件验证所述认证标志在有效时间内的情况下而发送的;
生成模块503,进一步具体用于在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息。
可选地,接收模块501,还用于接收所述目标插件发送的所述认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识。
生成模块503,进一步具体用于:
基于所述公钥解析所述认证标志,以获取所述认证标志当前对应的第二目标信息;
在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成述密钥信息。
图5所述的访问装置可以执行图2所示实施例所述的访问方法,其实现原理和技术效果不再赘述。对于上述实施例中的访问装置其中各个模块、单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例还提供一种访问装置。图6示出了本申请实施例提供的文件标注装置的一个实施例的示意图。如图6所示,该装置应用于密钥管理端,包括:发送模块601、接收模块602、执行模块603。
发送模块601,用于发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收模块602,用于接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
执行模块603,用于基于所述密钥信息执行访问操作。
图6所述的访问装置可以执行图3所示实施例所述的访问方法,其实现原理和技术效果不再赘述。对于上述实施例中的访问装置其中各个模块、单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
在一个可能的设计中,图4或图5或图6所示实施例的访问装置可以实现为计算设备,如图7所示,该计算设备可以包括存储组件701以及处理组件702;
所述存储组件701存储一条或多条计算机指令,其中,所述一条或多条计算机指令供所述处理组件702调用执行。
所述处理组件用于:
接收目标Pod针对密钥信息的获取请求;
将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;
从所述密钥管理端获取所述密钥信息;
将所述密钥信息发送至所述目标Pod。
或者,
接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取所述获取请求中的Pod信息;
基于所述Pod信息生成所述密钥信息;
将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod。
或者,
发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
基于所述密钥信息执行访问操作。
其中, 处理组件702可以包括一个或多个处理器来执行计算机指令,以完成上述的方法中的全部或部分步骤。当然处理组件也可以为一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
存储组件701被配置为存储各种类型的数据以支持在终端的操作。存储组件可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
当然,计算设备必然还可以包括其他部件,例如输入/输出接口、通信组件等。
输入/输出接口为处理组件和***接口模块之间提供接口,上述***接口模块可以是输出设备、输入设备等。
通信组件被配置为便于计算设备和其他设备之间有线或无线方式的通信等。
其中,该计算设备可以为物理设备或者云计算平台提供的弹性计算主机等,此时计算设备即可以是指云服务器,上述处理组件、存储组件等可以是从云计算平台租用或购买的基础服务器资源。
本申请实施例还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被计算机执行时可以实现上述图1或者图2或者图3所示实施例的访问方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种访问方法,其特征在于,应用于k8s中部署的目标插件中,包括:
接收目标Pod针对密钥信息的获取请求;
将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;
从所述密钥管理端获取所述密钥信息;
将所述密钥信息发送至所述目标Pod;
所述将所述获取请求发送至密钥管理端包括:
验证所述k8s的命名空间中是否运行所述目标Pod;
在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端;
所述在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端包括:
获取预先为所述目标Pod分配的认证标志;
确定所述认证标志是否在有效时间内;
在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息;
所述方法还包括:
获取认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;
将所述公钥和所述第一目标信息发送至密钥管理端;
所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成述密钥信息包括:
所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端通过公钥解析所述认证标志以获取对应的第二目标信息,在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成所述密钥信息。
2.根据权利要求1所述的方法,其特征在于,所述验证所述k8s的命名空间中是否运行所述目标Pod包括:
通过预先配置的Pod信息获取权限获取运行于所述k8s的命名空间的多个Pod的Pod信息;
基于所述多个Pod的Pod信息,判断所述多个Pod中是否包括所述目标Pod。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
通过预先配置的Pod信息检测权限检测针对目标Pod的更新操作;
响应于所述更新操作,更新所述目标Pod对应的认证标志。
4.一种访问方法,其特征在于,应用于密钥管理端,包括:
接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取所述获取请求中的Pod信息;
基于所述Pod信息生成所述密钥信息;
将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod;
接收所述目标插件发送的所述目标Pod对应的认证标志;所述认证标志为所述目标插件验证所述认证标志在有效时间内的情况下而发送的;
所述基于所述Pod信息生成所述密钥信息;
在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息;
接收所述目标插件发送的所述认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;
所述在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息包括:
基于所述公钥解析所述认证标志,以获取所述认证标志当前对应的第二目标信息;
在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成述密钥信息。
5.一种访问方法,其特征在于,应用于目标Pod,包括:
发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
基于所述密钥信息执行访问操作;
其中,所述目标插件用于验证k8s的命名空间中是否运行所述目标Pod;在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端;
所述目标插件还用于获取预先为所述目标Pod分配的认证标志;确定所述认证标志是否在有效时间内;在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息;
所述目标插件还用于获取认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;将所述公钥和所述第一目标信息发送至密钥管理端;所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端通过公钥解析所述认证标志以获取对应的第二目标信息,在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成所述密钥信息。
6.一种访问装置,其特征在于,应用于k8s中部署的目标插件中,包括:
接收模块,用于接收目标Pod针对密钥信息的获取请求;
发送模块,用于将所述获取请求发送至密钥管理端,以便所述密钥管理端基于所述获取请求中的Pod信息,生成所述密钥信息;将所述密钥信息发送至所述目标Pod;
获取模块,用于从所述密钥管理端获取所述密钥信息;
所述发送模块具体用于:验证所述k8s的命名空间中是否运行所述目标Pod;在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端;
所述发送模块进一步具体用于:获取预先为所述目标Pod分配的认证标志;确定所述认证标志是否在有效时间内;在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息;
所述发送模块进一步具体用于:获取认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;将所述公钥和所述第一目标信息发送至密钥管理端;所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成述密钥信息包括:所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端通过公钥解析所述认证标志以获取对应的第二目标信息,在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成所述密钥信息。
7.一种访问装置,其特征在于,应用于密钥管理端,包括:
接收模块,用于接收目标插件发送的目标Pod针对密钥信息的获取请求;
获取模块,用于获取所述获取请求中的Pod信息;
生成模块,用于基于所述Pod信息生成所述密钥信息;
发送模块,用于将所述密钥信息发送至所述目标插件,以便所述目标插件将所述密钥信息返回至所述目标Pod;
所述接收模块还用于接收所述目标插件发送的所述目标Pod对应的认证标志;所述认证标志为所述目标插件验证所述认证标志在有效时间内的情况下而发送的;
所述生成模块进一步具体用于在所述认证标志验证通过情况下,基于所述Pod信息生成所述密钥信息;
所述接收模块还用于接收所述目标插件发送的所述认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;
所述生成模块进一步具体用于基于所述公钥解析所述认证标志,以获取所述认证标志当前对应的第二目标信息;在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成述密钥信息。
8.一种访问装置,其特征在于,应用于目标Pod,包括:
发送模块,用于发送针对密钥信息的获取请求至目标插件,所述获取请求包括Pod信息;
接收模块,用于接收所述密钥信息,所述密钥信息为所述目标插件将所述获取请求发送至密钥管理端,所述密钥管理端基于所述获取请求中的Pod信息,生成并发送至目标插件的;
执行模块,用于基于所述密钥信息执行访问操作;
其中,所述目标插件用于验证k8s的命名空间中是否运行所述目标Pod;在所述k8s的命名空间中运行所述目标Pod的情况下,将所述获取请求发送至密钥管理端;
所述目标插件还用于获取预先为所述目标Pod分配的认证标志;确定所述认证标志是否在有效时间内;在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端在认证标志验证通过的情况下基于所述Pod信息生成所述密钥信息;
所述目标插件还用于获取认证标志对应的公钥以及第一目标信息,所述第一目标信息包括:k8s的节点信息,k8s的多个Pod 信息、监控命名空间标识;将所述公钥和所述第一目标信息发送至密钥管理端;所述在所述认证标志在有效时间内的情况下,将认证标志发送至密钥管理端,以便所述密钥管理端通过公钥解析所述认证标志以获取对应的第二目标信息,在所述第一目标信息与所述第二目标信息一致的情况下,基于所述Pod信息生成所述密钥信息。
9.一种计算设备,其特征在于,包括处理组件以及存储组件;
所述存储组件存储一个或多个计算机指令;所述一个或多个计算机指令用以被所述处理组件调用执行,实现如权利要求1~3或者权利要求4或者权利要求5任一项所述的访问方法。
10.一种计算机存储介质,其特征在于,存储有计算机程序,所述计算机程序被计算机执行时,实现如权利要求1~3或者权利要求4或者权利要求5任一项所述的访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310303212.6A CN116011000B (zh) | 2023-03-27 | 2023-03-27 | 访问方法、装置、及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310303212.6A CN116011000B (zh) | 2023-03-27 | 2023-03-27 | 访问方法、装置、及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116011000A CN116011000A (zh) | 2023-04-25 |
| CN116011000B true CN116011000B (zh) | 2023-06-20 |
Family
ID=86032184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310303212.6A Active CN116011000B (zh) | 2023-03-27 | 2023-03-27 | 访问方法、装置、及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116011000B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111970240A (zh) * | 2020-07-10 | 2020-11-20 | 北京金山云网络技术有限公司 | 集群纳管方法、装置及电子设备 |
| CN115269198A (zh) * | 2022-08-10 | 2022-11-01 | 抖音视界有限公司 | 基于服务器集群的访问请求处理方法及相关设备 |
| US11494518B1 (en) * | 2020-03-02 | 2022-11-08 | Styra, Inc. | Method and apparatus for specifying policies for authorizing APIs |
| CN115473648A (zh) * | 2022-08-05 | 2022-12-13 | 超聚变数字技术有限公司 | 一种证书签发***及相关设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10339333B2 (en) * | 2016-07-20 | 2019-07-02 | Montage Technology Co., Ltd. | Method and apparatus for controlling application to access memory |
| CN110399717B (zh) * | 2018-11-21 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 密钥获取方法和装置、存储介质及电子装置 |
| CN111800273B (zh) * | 2020-06-30 | 2021-12-24 | 联想(北京)有限公司 | 信息处理方法、电子设备及存储介质 |
| CN111740828B (zh) * | 2020-07-29 | 2021-02-12 | 北京信安世纪科技股份有限公司 | 一种密钥生成方法以及装置、设备、加解密方法 |
| CN113986448A (zh) * | 2021-09-09 | 2022-01-28 | 新华三大数据技术有限公司 | 一种容器部署方法及装置 |
| US11989282B2 (en) * | 2021-09-10 | 2024-05-21 | International Business Machines Corporation | Open-source container data management |
| CN114629644A (zh) * | 2022-03-29 | 2022-06-14 | 贝壳找房网(北京)信息技术有限公司 | 数据加密方法、存储介质、计算机程序产品和电子设备 |
| CN115114657A (zh) * | 2022-06-23 | 2022-09-27 | 北京信安世纪科技股份有限公司 | 数据保护方法、电子设备及计算存储介质 |
-
2023
- 2023-03-27 CN CN202310303212.6A patent/CN116011000B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11494518B1 (en) * | 2020-03-02 | 2022-11-08 | Styra, Inc. | Method and apparatus for specifying policies for authorizing APIs |
| CN111970240A (zh) * | 2020-07-10 | 2020-11-20 | 北京金山云网络技术有限公司 | 集群纳管方法、装置及电子设备 |
| CN115473648A (zh) * | 2022-08-05 | 2022-12-13 | 超聚变数字技术有限公司 | 一种证书签发***及相关设备 |
| CN115269198A (zh) * | 2022-08-10 | 2022-11-01 | 抖音视界有限公司 | 基于服务器集群的访问请求处理方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116011000A (zh) | 2023-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483509B (zh) | 一种身份验证方法、服务器及可读存储介质 | |
| CN109788032B (zh) | 镜像文件的获取方法、装置、计算机设备和存储介质 | |
| CN111708991B (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
| CN110336810B (zh) | 信息分享方法、平台、计算设备及存储介质 | |
| KR100823738B1 (ko) | 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법 | |
| US9792374B2 (en) | Method and system for facilitating terminal identifiers | |
| CN109800160B (zh) | 机器学习***中的集群服务器故障测试方法和相关装置 | |
| CN112559993B (zh) | 身份认证方法、装置、***及电子设备 | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN108243188B (zh) | 一种接口访问、接口调用和接口验证处理方法及装置 | |
| CN112019493A (zh) | 身份认证方法、身份认证装置、计算机设备和介质 | |
| CN112527912B (zh) | 基于区块链网络的数据处理方法、装置及计算机设备 | |
| CN111666564B (zh) | 应用程序安全启动方法、装置、计算机设备和存储介质 | |
| CN104573435A (zh) | 用于终端权限管理的方法和终端 | |
| CN110730081B (zh) | 基于区块链网络的证书吊销方法、相关设备及介质 | |
| CN113505354B (zh) | 一种数据处理方法、装置及存储介质 | |
| CN112995357B (zh) | 基于云托管服务的域名管理方法、装置、介质及电子设备 | |
| CN114282193A (zh) | 一种应用授权方法、装置、设备及存储介质 | |
| CN111597537B (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
| CN111460410A (zh) | 服务器登录方法、装置、***与计算机可读存储介质 | |
| CN111431957B (zh) | 文件处理方法、装置、设备和*** | |
| CN106709281A (zh) | 补丁发放和获取方法、装置 | |
| CN111324912A (zh) | 文件校验方法、***及计算机可读存储介质 | |
| CN112181599B (zh) | 模型训练方法、装置及存储介质 | |
| CN111600701B (zh) | 一种基于区块链的私钥存储方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |