本发明专利技术公开了一种提高Kubernetes的WEB能力的方法,在Kubernetes集群对外提供web界面查看http监听状态,并自动为对外的WEB服务添加HTTPS能力,为https的证书自动续期,添加证书过期提醒,用户能通过程序提供的http服务,查看现在Kubernetes所有监听的Ingress,后端的service名与对应的pod地址;https证书信息,以及后端服务状态。
A Method to Improve the WEB Capability of Kubernetes
【技术实现步骤摘要】
一种提高Kubernetes的WEB能力的方法
本专利技术涉及互联网及云服务安全
,尤其涉及一种提高Kubernetes的WEB能力的方法。
技术介绍
Kubernetes是一个开源的、用于容器编排的应用,它提供了应用部署、更新、资源限制的一种机制,让部署容器化的应用简单且高效。在集群内提供服的方式有集群内的service、集群外的ingress。Service是后端真实服务的抽象,一个Service可以代表多个相同的后端服务。Ingress是反向代理规则,用来规定HTTP/S请求应该被转发到哪个Service/pod上,比如根据请求中不同的Host和URL路径让请求落到不同的Service上。IngressController是一个反向代理程序,其负责解析Ingress的反向代理规则,如果Ingress后端服务对应的变动(包含服务pod的增加,删除等),IngressController都会及时、自动更新相应的转发规则。随着HTTP服务使用越来越广泛,通过明文传输的HTTP服务方式也面临着的越来越多的安全问题,尤其是支付、交易、用户信息等敏感内容。HTTPS作为一种基于公私钥技术的加密传输协议应用应运而生,HTTP/S是通过在TCP和HTTP层中间加入了SSL加密数据传输层防止数据被盗窃和篡改。但是,现有技术中,IngressController常用的是NginxIngressController,在对外提供HTTPS服务时,都需要提前准备好HTTPS服务所需的SSL证书。在证书过期后,无任何措施或者提醒,直接无法提供HTTPS服务进而影响业务应用,且无法通过WEB界面直观的查看当前IngressController所监听的服务与服务后端的状态。
技术实现思路
针对上述问题,本专利技术提出了一种提高Kubernetes的WEB能力的方法,以解决Kubernetes集群现有的IngressController无管理界面,提供的HTTPS服务无预警,配置繁琐,影响业务等问题。本专利技术通过以下技术方案来实现上述目的:一种提高Kubernetes的WEB能力的方法,包括以下步骤:根据搭建好的Kubernetes环境中使用Deployment或者Statefulset部署web服务;在Kubernetes中创建ingress服务,配置web所需要监听的域名地址(ingress);配置DNS,指定监控的域名地址到ingresscontroller对应的IP地址,即完成服务的http配置;通过第一组件根据ingress信息部署httpsserver代理服务;通过第二组件向Let’sEncrypt申请证书;通过第三组件监控所部署服务下的SSL证书;通过第四组件展示所监听的https服务以及所对应的证书信息。进一步方案为,所述第一组件为基于Kubernetes的ingresscontroller接口实现程序;根据Ingress配置HTTP/S服务;并通过Kubernetes的Nodeport等方式对外提供HTTP/S服务。进一步方案为,所述第二组件为基于Golang编写的SSL证书申请程序;如果Ingress已经存在SSL证书内容,直接使用到HTTPS,否则程序根据Ingress配置信息自动向Let’sEncrypt申请SSL证书。进一步方案为,所述第三组件为证书监控程序;每天在指定时间扫描指定目录下的SSL证书,查询证书相关内容;确认证书有效时间,如果到达指定预警时间,根据配置的报警方式报警;并把证书相关信息存储到指定数据库。进一步方案为,所述第四组件为web管理程序;包含整个Kubernetes的Ingress服务状态。本专利技术的有益效果在于:本专利技术通过在Kubernetes集群对外提供web界面查看http监听状态,并自动为对外的WEB服务添加HTTPS能力,为https的证书自动续期,添加证书过期提醒,用户能通过程序提供的http服务,查看现在Kubernetes所有监听的Ingress,后端的service名与对应的pod地址;https证书信息,以及后端服务状态。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要实用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例中系统架构图;图2为本专利技术实施例的证书申请程序流程示意图;图3是本专利技术实施例中ingresscontroller功能结构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。在任一实施例中,如图1-3所示,本专利技术的一种提高Kubernetes的WEB能力的方法,包括以下步骤:根据搭建好的Kubernetes环境中使用Deployment或者Statefulset部署web服务;在Kubernetes中创建ingress服务,配置web所需要监听的域名地址(ingress);配置DNS,指定监控的域名地址到ingresscontroller对应的IP地址,即完成服务的http配置;通过第一组件根据ingress信息部署httpsserver代理服务;第一组件为基于Kubernetes的ingresscontroller接口实现程序;根据Ingress配置HTTP/S服务;并通过Kubernetes的Nodeport等方式对外提供HTTP/S服务。通过第二组件向Let’sEncrypt申请证书;第二组件为基于Golang编写的SSL证书申请程序;如果Ingress已经存在SSL证书内容,直接使用到HTTPS,否则程序根据Ingress配置信息自动向Let’sEncrypt申请SSL证书。通过第三组件监控所部署服务下的SSL证书;第三组件为证书监控程序;每天在指定时间扫描指定目录下的SSL证书,查询证书相关内容;确认证书有效时间,如果到达指定预警时间,根据配置的报警方式报警;并把证书相关信息存储到指定数据库。通过第四组件展示所监听的https服务以及所对应的证书信息,第四组件为web管理程序;包含整个Kubernetes的Ingress服务状态。在一个具体实施例中,如图1-3所示,本专利技术的一种提高Kubernetes的WEB能力的方法,包括:根据系统架构如图1搭建好Kubernetes环境;在集群中使用deployment部署Nginx服务;配置NDS域名解析,指定监听的域名到Kubernetes的ingresscontroller对LB地址;在Kubernetes集群中使用DS完成ingresscontroller程序部署(功能结构图如图2),程序还集成SSL证书申请功能,证书监控功能,服务展示功能;程序能根据Ingress配置信息创建并对集群外提供HTTP/S服务;程序的证书申请功能是根据Ingress配置信息确认是否自动向Let’sEncrypt申请本文档来自技高网...
【技术保护点】
1.一种提高Kubernetes的WEB能力的方法,其特征在于,包括以下步骤:根据搭建好的Kubernetes环境中使用Deployment或者Statefulset部署web服务;在Kubernetes中创建ingress服务,配置web所需要监听的域名地址;配置DNS,指定监控的域名地址到ingress对应的LB或者对外的IP地址;通过第一组件根据ingress信息部署https server代理服务;通过第二组件向Let’s Encrypt申请证书;通过第三组件监控所部署服务下的SSL证书;通过第四组件展示所监听的https服务以及所对应的证书信息。
【技术特征摘要】
1.一种提高Kubernetes的WEB能力的方法,其特征在于,包括以下步骤:根据搭建好的Kubernetes环境中使用Deployment或者Statefulset部署web服务;在Kubernetes中创建ingress服务,配置web所需要监听的域名地址;配置DNS,指定监控的域名地址到ingress对应的LB或者对外的IP地址;通过第一组件根据ingress信息部署httpsserver代理服务;通过第二组件向Let’sEncrypt申请证书;通过第三组件监控所部署服务下的SSL证书;通过第四组件展示所监听的https服务以及所对应的证书信息。2.根据权利要求1的一种提高Kubernetes的WEB能力的方法,其特征在于:所述第一组件为基于Kubernetes的ingresscontroller接口实现程序;根据Ingress配置HTTP/S服务;并通过Ku...
【专利技术属性】
技术研发人员:黄江波,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。