基于k8s的敏感信息访问方法、装置、介质及产品制造方法及图纸

技术编号：40186829 阅读：6 留言：0更新日期：2024-01-26 23:50

本公开是关于一种基于k8s的敏感信息访问方法、装置、介质及产品，包括：应用容器接收访问敏感信息的第一指令，应用容器中包含应用程序；基于第一指令，使得应用程序获取存储卷中的敏感信息，其中，存储卷中的敏感信息是初始化容器写入的，存储卷挂载在应用容器和初始化容器上。本申请只能通过应用容器中的应用程序来获取存储卷中的敏感信息，避免了非应用程序来获取敏感信息，且由于初始化容器的生命周期是非常短暂的，避免了敏感数据在初始化容器写入存储卷的过程中产生泄露，提高了应用容器访问敏感信息的安全性。

全部详细技术资料下载

【技术实现步骤摘要】

本公开涉及数据访问领域，尤其涉及一种基于k8s的敏感信息访问方法、装置、介质及产品。

技术介绍

1、通过k8s的secrets管理，可以把一些应用依赖的敏感信息，比如vault服务依赖的token放置其中，现有技术中k8s提供了env(环境变量)和files(文件)两种方式允许应用容器读取敏感信息。当k8s的secrets通过env的方式映射给应用容器访问，是不便于做安全管理的，一般意义上，k8s中应用的env管理权限都会开放给不同业务线的应用维护人员，secrets通过env映射后，env本身是没有办法区分类型并实现有针对性的保护(比如从secerts映射的env设置额外的k8s访问控制规则)。另外env是和进程相关的(不同进程之间持有各自独立维护的env，每个进程都有专门的内存区域来访问env)，导致了跨进程管理其它进程的env是非常困难的，会导致secrets泄露。当k8s的secrets通过files的方式映射给应用容器访问，是通过只读的方式挂载到文件系统的，因此没有办法轻易的通过删除/修改文件内容的方式来阻止包含敏感信息的文件被查看。

技术实现思路

1、为克服相关技术中存在的问题，本公开提供一种基于k8s的敏感信息访问方法、装置、介质及产品。

2、根据本公开实施例的第一方面，提供一种基于k8s的敏感信息访问方法，包括：

3、应用容器接收访问敏感信息的第一指令，所述应用容器中包含应用程序；

4、基于所述第一指令，使得所述应用程序获取存储卷

5、在一些实施例中，所述存储卷中的敏感信息是初始化容器写入的，包括：

6、在pod中设置所述初始化容器；

7、基于secret mapping by env将所述敏感信息映射到所述初始化容器中；

8、基于包含敏感信息的所述初始化容器，将所述敏感信息写入到所述存储卷中。

9、进一步的，基于所述初始化容器，将所述敏感信息写入到所述存储卷中之后，还包括：

10、接收第二指令，将所述初始化容器更改为终止状态，其中，所述第二指令是所述敏感信息写入到所述存储卷结束后发送的。

11、在一些实施例中，包括：所述存储卷的生命周期与所述pod和所述应用容器绑定。

12、在一些实施例中，还包括：所述应用容器与所述初始化容器位于一个pod，且所述应用容器与所述初始化容器均能读取所述存储卷中的敏感信息。

13、根据本公开实施例的第二方面，提供一种基于k8s的敏感信息访问装置，包括：

14、第一接收模块，用于应用容器接收访问敏感信息的第一指令，所述应用容器中包含应用程序；

15、读取模块，基于所述第一指令，使得所述应用程序获取存储卷中的敏感信息，其中，所述存储卷中的敏感信息是初始化容器写入的，所述存储卷挂载在所述应用容器和所述初始化容器上。

16、在一些实施例中，还包括：

17、添加模块，在pod中设置所述初始化容器；

18、映射模块，基于secret mapping by env将所述敏感信息映射到所述初始化容器中；

19、写入模块，基于所述初始化容器，将所述敏感信息写入到所述存储卷中。

20、本公开的实施例提供的技术方案可以包括以下有益效果：通过应用容器中的应用程序来获取存储卷中的敏感信息，避免了非应用程序来获取敏感信息，且由于初始化容器的生命周期是非常短暂的，避免了敏感数据在初始化容器写入存储卷的过程中产生泄露，提高了应用容器访问敏感信息的安全性，且足够轻量，实施成本最低，没有引入新的基础实施依赖。

21、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

本文档来自技高网...

【技术保护点】

1.一种基于k8s的敏感信息访问方法，其特征在于，包括：

2.如权利要求1所述的基于k8s的敏感信息访问方法，其特征在于，所述存储卷中的敏感信息是初始化容器写入的，包括：

3.如权利要求2所述的基于k8s的敏感信息访问方法，其特征在于，基于所述初始化容器，将所述敏感信息写入到所述存储卷中之后，还包括：

4.如权利要求2所述的基于k8s的敏感信息访问方法，其特征在于，包括：所述存储卷的生命周期与所述POD和所述应用容器绑定。

5.如权利要求1所述的基于k8s的敏感信息访问方法，其特征在于，还包括：所述应用容器与所述初始化容器位于一个POD，且所述应用容器与所述初始化容器均能读取所述存储卷中的敏感信息。

6.一种基于k8s的敏感信息访问装置，其特征在于，包括：

7.根据权利要求6所述的基于k8s的敏感信息访问装置，其特征在于，还包括：

8.一种电子设备，其特征在于，包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由所述处理器加

9.一种非临时性计算机可读存储介质，其特征在于，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行根据权利要求1-5中任一项所述的基于k8s的敏感信息访问方法。

10.一种计算机程序产品，其特征在于，当所述计算机程序产品中的指令由移动终端的处理器执行时，使得移动终端能够执行根据权利要求1-5中任一项所述的基于k8s的敏感信息访问方法。

...

【技术特征摘要】

1.一种基于k8s的敏感信息访问方法，其特征在于，包括：

2.如权利要求1所述的基于k8s的敏感信息访问方法，其特征在于，所述存储卷中的敏感信息是初始化容器写入的，包括：

3.如权利要求2所述的基于k8s的敏感信息访问方法，其特征在于，基于所述初始化容器，将所述敏感信息写入到所述存储卷中之后，还包括：

4.如权利要求2所述的基于k8s的敏感信息访问方法，其特征在于，包括：所述存储卷的生命周期与所述pod和所述应用容器绑定。

5.如权利要求1所述的基于k8s的敏感信息访问方法，其特征在于，还包括：所述应用容器与所述初始化容器位于一个pod，且所述应用容器与所述初始化容器均能读取所述存储卷中的敏感信息。

6.一种基于k8s的敏感信息访问装置，其特征在于，包括：...

【专利技术属性】
技术研发人员：王安全，张文，
申请(专利权)人：湖南微步信息科技有限责任公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人