[发明专利]基于Kubernetes的数据发现和安全访问方法

权利要求书

1.一种基于Kubernetes的数据发现和安全访问方法，其特征在于，包括以下步骤：

S1：在数据提供方和数据使用方之间设置数据平台运营方，在数据平台运营方构建一个Kubernetes管理节点，在各个数据提供方分别构建一个Kubernetes工作节点作为数据节点，由管理节点和数据节点构成数据平台；管理节点端运行Kubernetes组件，包括API服务器、Kubernetes调度管理模块和状态同步数据库，并且在管理节点端设置一个公共镜像仓库，数据节点端运行Kubelet组件；

S2：采用以下方法进行数据发现：

S2.1：数据提供方向管理节点挂载用于数据源管理的数据源控制器，该数据源控制器遵循Kubernetes的控制器开发规范；

S2.2：数据提供方根据所拥有数据的数据源，为每个数据源开发一个数据访问代理程序，并将其制作成容器镜像上传至管理节点的公共镜像仓库中；数据访问代理程序包含数据源的访问驱动、访问ip限制、访问权限控制功能与接口；

S2.3：数据提供方根据数据源控制器的开发规范、数据源控制器接口以及数据访问代理程序中的配置信息，对管理节点端的API服务器接口进行拓展，生成自定义访问接口，用于数据源代理和数据源控制器之间的数据通信，自定义接口中针对不同数据源分别配置相应的数据访问方法和参数；

S2.4：数据提供方在自己持有的数据节点端挂载数据源代理，数据源代理是符合Kubernetes设备插件规范的gRPC服务；

S2.5：数据提供方将所要提供的数据在数据源代理进行数据源注册，注册所需要的数据源信息包括数据源的唯一标识、数据源的描述、数据字典及数据访问地址；

数据源注册成功后，数据源代理将该数据源信息通过步骤S2.3中生成的API服务器的自定义访问接口向管理节点端的数据源控制器进行推送；

S2.6：数据源控制器在接收到数据源信息后，检测数据源对应的访问代理在数据节点端是否存在，如果已经存在，则不作任何操作；如果不存在，则生成数据访问代理部署请求，包括数据访问代理程序、对应数据源所在位置和数据访问方式，通过步骤S2.3中生成的API服务器的自定义接口下发至数据源代理；

数据源代理在接收到数据访问代理部署请求后，由所在数据节点端的kubelet组件根据该部署请求，从管理节点端的公共镜像仓库中拉取指定的数据访问代理镜像，并根据镜像为指定数据源创建数据访问代理；

S2.7：在数据访问代理部署完成后，管理节点端的数据源控制器通过Kubernetesservice暴露该数据访问代理的服务信息，同时在将该数据源的相关信息添加至数据目录中，数据源相关信息包括数据源信息、数据所在数据节点信息、数据访问方式；

S3：数据使用方采用以下方法进行数据访问：

S3.1：数据使用方通过管理节点端的数据源控制器查询所需使用的数据源信息，并根据对应访问代理的数据访问方式定制开发数据访问程序，并将其制作成容器镜像上传至管理节点的公共镜像仓库中；

S3.2：数据使用方通过步骤S2.3中生成的API服务器的自定义接口向管理节点的API服务器发起数据访问程序部署请求，在该请求中指定访问代理并提供相关的访问参数，API服务器根据预先设置的权限管理规则对数据使用方的数据访问程序部署请求进行权限验证，如果权限验证通过则进入步骤S3.3，否则向数据使用方反馈权限未通过信息；

S3.3：管理节点端的Kubernetes调度管理模块通过步骤S2.3中生成的API服务器的自定义访问接口，将数据使用方的数据访问程序部署请求转发至对应数据源所在数据节点；

S3.4：数据节点端的kubelet组件根据数据访问程序部署请求从公共镜像仓库中拉取对应数据访问程序镜像，将访问程序以pod的形式运行；

S3.5：数据使用方通过访问程序向数据访问代理进行数据访问，在数据访问过程中，数据访问代理根据其所设置的权限控制规则对数据访问程序进行权限校验与流量控制。

2.根据权利要求1所述的基于Kubernetes的数据发现和安全访问方法，其特征在于，所述数据源控制器在接收到数据源信息并完成数据访问代理部署后，通过步骤S2.3中生成的API服务器的自定义接口对该数据访问代理进行定期检测；当检测到数据访问代理故障时，将对应访问代理的状态更改为不可用；当检测到数据访问代理连接恢复后，再将访问代理的状态更新为可用。