[发明专利]基于容器的编排文件的方法和装置

说明书

本发明公开了一种基于容器的编排文件的方法和装置。其中，该方法包括：容器调度系统接收经过如下任一种或多种方式处理后的访问请求：校验处理、地址更新、加密处理，其中，访问请求由容器的宿主机发起；容器调度系统基于处理后的访问请求对宿主机进行身份认证；在宿主机通过身份认证的情况下，容器调度系统允许在宿主机上编排文件。本发明解决了由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。

技术领域

本发明涉及互联网技术领域，具体而言，涉及一种基于容器的编排文件的方法和装置。

背景技术

随着容器技术的快速发展，越来越多的容器开始运行在物理机及虚拟机之上，同时越来越多的IaaS厂商也逐步在其云主机之上搭建容器集群提供类PaaS服务，其中Serverless的容器服务开始崭露头角，这种模式下用户不用关注容器的服务器及调度只需要传入容器编排文件即可，云厂商根据用户传入的编排文件进行容器调度，目前主流的容器编排框架比如kubernetes内部组件通信往往需要证书，而证书文件通常情况会比较大，用户传入证书可能受限于云平台的约束，同时也存在安全风险。

通常在云主机上部署容器编排文件可以通过业界标准的UserData即用户数据传入，云主机内部通过cloudinit来将编排文件按需进行处理，但是该方案中由于UserData的数据大小是受限的，目前业界一般会限制在16k，而主流的容器编排框架一般会传入证书信息可能会超过16k，这种方式下一般的解决方案是压缩，开发成本较高。并且，传输过程不加密，数据存在被窃取及篡改问题，安全性不够高，存在证书泄漏及被篡改的风险。

针对上述由于现有技术在云主机上部署容器编排文件时存在的数据安全的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种基于容器的编排文件的方法和装置，以至少解决由于现有技术在云主机上部署容器编排文件时存在的数据安全的技术问题。

根据本发明实施例的一个方面，提供了一种基于容器的编排文件的方法，包括：容器调度系统接收经过如下任一种或多种方式处理后的访问请求：校验处理、地址更新、加密处理，其中，访问请求由容器的宿主机发起；容器调度系统基于处理后的访问请求对宿主机进行身份认证；在宿主机通过身份认证的情况下，容器调度系统允许在宿主机上编排文件。

可选的，在容器调度系统接收容器的宿主机发起的访问请求之前，该方法还包括：宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理，得到处理后的访问请求；容器调度系统接收处理后的访问请求。

进一步地，可选的，在对访问请求进行校验处理的情况下，宿主机发送访问请求至虚拟交换机和/或负载均衡器进行处理，得到处理后的访问请求，包括：虚拟交换机接收宿主机发送的访问请求；虚拟交换机对宿主机的地址进行校验，并打开容器调度系统的访问控制。

可选的，在对访问请求还进行地址更新的情况下，在虚拟交换机对宿主机的地址进行校验，并打开容器调度系统的访问控制之后，该方法还包括：负载均衡器修改Tcp报文，并将修改后的Tcp报文中的套接字描述器发送给容器调度系统。

进一步地，可选的，容器调度系统基于处理后的访问请求对宿主机进行身份认证，包括：容器调度系统基于负载均衡器发送的修改后的Tcp报文中的套接字描述器，对宿主机进行身份认证。

可选的，容器调度系统通过与宿主机上的Agent来对容器进行调度。

根据本发明实施例的另一方面，还提供了一种基于容器的编排文件的装置，包括：接收模块，用于接收经过如下任一种或多种方式处理后的访问请求：校验处理、地址更新、加密处理，其中，访问请求由容器的宿主机发起；认证模块，用于基于处理后的访问请求对宿主机进行身份认证；编排模块，用于在宿主机通过身份认证的情况下，允许在宿主机上编排文件。