使用替代服务器名称选择性地提供相互传输层安全制造技术

本文中描述了用于使用替代服务器名称来选择性地提供mTLS的技术的示例。示例系统包括处理器，该处理器用于响应于检测到遗留指示符而生成替代服务器名称。处理器还将替代服务器名称与网荚的地址相关联。处理器还配置与网荚相关联的代理，以基于替代服务器名称选择性地提供相互传输层安全(mTLS)。

【技术实现步骤摘要】
【国外来华专利技术】使用替代服务器名称选择性地提供相互传输层安全
技术介绍
本技术涉及相互传输层安全(mTLS)。更具体地，该技术涉及使用替代服务器名称选择性地提供mTLS。
技术实现思路
根据本文描述的实施方式，一种系统可包括处理器，用于响应于检测到遗留(legacy)指示符生成替代服务器名称并将替代服务器名称与网荚(pod)的地址相关联。处理器还可以进一步配置与网荚相关联的代理，以基于替代服务器名称选择性地提供相互传输层安全(mTLS)。根据本文描述的另一实施例，一种方法可包括经由处理器检测遗留指示符。该方法还可以包括通过处理器修改网荚的统一资源位置(URL)以使用替代服务器名称。该方法还可以包括配置与网荚相关联的代理，以响应于接收到替代服务器名称而禁用相互传输层安全(mTLS)。根据本文描述的另一实施例，用于选择性地提供相互传输层安全(mTLS)的计算机程序产品可包括具有随其体现的程序代码的计算机可读存储介质。计算机可读存储介质本身不是瞬态信号。所述程序代码可由处理器执行以致使所述处理器监视多个遗留指示符的多个清单。程序代码还可以使处理器在多个清单中的至少一个清单中检测与至少一个遗留客户端相关联的遗留指示符。程序代码还可以使处理器响应于检测到遗留指示符而生成替代服务器名称。程序代码还可以使处理器将替代服务器名称与网荚的地址相关联。程序代码还可以使处理器配置与网荚相关联的代理，以响应于从遗留客户端接收包括替代服务器名称的服务器名称指示符，禁用服务。附图说明现在将参考附图仅通过举例来描述本专利技术的实施例，在附图中：图1是用于使用替代服务器名称选择性地提供mTLS的示例系统的框图；图2是可以使用替代服务器名称选择性地提供mTLS的示例方法的框图；图3是可使用替代服务器名称选择性地提供mTLS的示例计算设备的框图；图4是根据本文描述的实施例的示例云计算环境的过程流程图；图5是根据在此描述的实施例的示例抽象模型层的过程流程图；并且图6是可使用替代服务器名称选择性地提供mTLS的实例有形非暂时性计算机可读介质。具体实施方式基于微服务的应用可以由使用网络协议交互的多个服务(在此称为微服务)组成。例如，网络协议可以是超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)或基于远程过程调用(RPC)系统。在一些实例中，一个微服务系统可以采用一个服务网。服务网格可以包括使用中间代理来间接通信的组件。这些代理可以用于简化通信处理，并且还可以改善通信弹性和安全性。只要基于微服务的应用的服务之间的通信使用代理，代理就可以完成任何前提，而不直接影响微服务代码。示例先决条件可以是相互传输层安全(mTLS)握手。如本文中所使用的互TLS或mTLS指的是用于在客户端和服务器之间执行相互认证的技术。例如，服务器可通过向客户端发送证书来开始其自身与客户端的认证。证书可由受信任证书权威机构签名并且包括服务器的名称。名称可以包括通用名称和替代名称。证书108还可以包括公钥。公共密钥可由客户端用来加密随机值，该随机值随后由服务器使用与公共密钥对应的私有密钥作为服务器身份的证明来解密以被发送回客户端。然后，客户端可以通过对从使用与客户端的私钥对应的公钥加密的服务器接收的值执行类似的解密来类似地向服务器认证其自身。在服务网格环境中，不由代理发起的请求(诸如由遗留客户端作出的请求)也可被截取并重定向到代理。如本文中所使用，术语遗留客户端指代未经配置以使用特定先决条件(例如，mTLS)的客户端。由遗留客户端发起的请求可包括健康检查、对度量的访问、状态、自省和调试数据请求。健康检查可以包括活跃度检查或准备度检查。由于代理可能不知道客户端的身份，所以代理可发起mTLS交换。然而，用于开始客户端的认证的所得客户端证书请求可能是遗留客户端未预期的，且连接可因此终止。在一些示例中，遗留客户端可执行健康检查，诸如活跃度检查或准备度检查。例如，遗留客户端可以用于检查网荚中的应用实例的活跃度或准备度。如本文中所使用的，活跃性是指应用实例是否活跃。例如，如果活跃度检查检测到应用实例停机，则协调器可以重启应用实例。如本文所使用的协调器指容器管理工具，其使容器化基础设施的供应自动化并且为容器用来创建的服务提供负载平衡。如本文所使用的，就绪是指应用实例是否准备好服务流量。例如，应用实例可以是活动的，但由于一个或多个依赖性未准备就绪，所以未准备好服务流量。如本文所使用的，网荚指的是可能在容器化环境中运行的一组一个或多个进程，其具有共享存储和网络以及如何运行一个或多个容器的规范。因此，容器可以用于对应用程序特定的逻辑主机进行建模。例如，网荚中的一个或多个容器可以共享IP地址和端口空间，并且可以经由本地主机找到彼此。每个网荚可被分配单独的IP地址以使得应用实例能够在没有冲突的情况下使用端口。网荚可用于定义卷，例如本地磁盘目录或网络磁盘，并将卷暴露给网荚中的一个或多个容器。网荚内的应用可以访问共享卷，所述共享卷可以被定义为网荚的一部分并且可用于安装到每个应用的文件系统中。池可以经由协调器或者经由诸如准入控制器的控制器手动地管理。根据本公开的实施例，系统可使用替代服务器名称来选择性地提供mTLS。该系统可以包括替代名称生成器，用于响应于检测到遗留客户端生成替代服务器名称，并且将该替代服务器名称与网荚的地址相关联。所述系统还可以包括代理配置器，用于响应于接收到包括所述替代服务器名称的服务器名称指示符，配置与所述容器相关联的代理，以禁用服务。由此，本文中描述的技术可以使得遗留客户端能够被部署在使用mTLS的服务网格系统中。此外，本文中所描述的技术对应用程序实例是透明的，且不需要应用程序或客户端中的任何代码改变。这些技术可用于将mTLS和非mTLS客户端分离到不同的逻辑服务器中，而不影响或改变客户端代码。在一些场景中，本文描述的技术可以在云计算环境中实现。如下文至少参见图3-5更详细论述，经配置以使用替代服务器名称选择性地提供mTLS的计算装置可在云计算环境中实施。预先理解的是，虽然本公开可以包括关于云计算的描述，但是本文所引用的教导的实现不限于云计算环境。相反，本专利技术的实施例能够结合现在已知或以后开发的任何其他类型的计算环境来实现。云计算是一种服务递送模型，用于实现对可配置计算资源(例如，网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的方便、按需的网络访问，所述可配置计算资源可以用最小的管理努力或与服务提供者的交互来快速配置和释放。该云模型可以包括至少五个特性、至少三个服务模型和至少四个部署模型。特性如下：按需自助服务：云消费者可按需自动地单方面供应计算能力，诸如服务器时间和网络存储，而无需与服务的提供者的人类交互。广泛的网络接入：能力在网络上是可用的并且通过标准机制来访问，所述标准机制促进由异构的瘦或厚客户端平台(例如，移动电话、膝上型计算机和PDA)的使用。资源池化：提供者的计算资源被池化以使用多租户模型服务于多个消费者，其中不同的物理和虚拟资源本文档来自技高网...

【技术保护点】
1.一种系统，包括处理器，所述处理器用于：/n响应于检测到遗留指示符而生成替代服务器名称，并且将所述替代服务器名称与网荚的地址相关联；并且/n配置与所述网荚相关联的代理，以基于所述替代服务器名称选择性地提供相互传输层安全(mTLS)。/n

【技术特征摘要】
【国外来华专利技术】20180521 US 15/984,4231.一种系统，包括处理器，所述处理器用于：
响应于检测到遗留指示符而生成替代服务器名称，并且将所述替代服务器名称与网荚的地址相关联；并且
配置与所述网荚相关联的代理，以基于所述替代服务器名称选择性地提供相互传输层安全(mTLS)。


2.如权利要求1所述的系统，其中，所述系统包括准入控制器，所述准入控制器用于在生成所述网荚之前检查和修改清单。


3.如权利要求1所述的系统，其中，所述系统包括扩展应用编程接口(API)服务器，所述扩展API服务器用于接收工作负荷、利用所接收的工作负荷来调用扩展点、以及使用所述替代服务器名称来接收经修改的部署描述符，所述经修改的部署描述符包括至少一个统一资源定位符(URL)。


4.如权利要求1所述的系统，其中，所述系统包括控制循环，所述控制循环用于订阅以改变通知，并且响应于检测到新工作负荷，修改所述新工作负荷的部署描述符以匹配使用所述替代服务器名称的期望状态。


5.如权利要求1所述的系统，其中，所述遗留指示符包括清单中的特定属性、网荚特定元数据、通过运行部署的图像而生成的特定URL模式、或应用编程接口(API)规范中的遗留微服务。


6.如权利要求1所述的系统，其中，与所检测到的遗留客户端访问相关联的遗留客户端包括使用传输层安全(TLS)来执行健康检查的代理。


7.如权利要求1所述的系统，其中所述处理器使用所述配置的代理为所述网荚中的应用实例提供服务。


8.一种计算机实现的方法，包括：
经由处理器检测遗留指示符；
通过所述处理器修改网荚的统一资源位置(URL)以使用替代服务器名称；并且
配置与所述网荚相关联的代理以响应于接收到所述替代服务器名称而禁用相互传输层安全(mTLS)。


9.如权利要求8所述的计算机实现的方法，其中检测该遗留指示符包括接收清单并且将该清单发送到网钩以供检查。


10.如权利要求8所述的计算机实现的方法，其中，检测所述遗留指示符包括订阅以检测包括所述遗留指示符的新工作负荷的变化通知。

【专利技术属性】
技术研发人员：E莱夫兰，S拉贾戈帕兰，Z卡哈纳，I扎克，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US