【技术实现步骤摘要】
本专利技术涉及云计算领域、金融科技领域或其他相关领域,具体而言,涉及一种证书更新方法、装置、存储介质及电子设备。
技术介绍
1、在多集群资源管控场景下,paas管理平台常常会纳管上百个kubernetes集群,平台和集群之间使用证书进行通信,完成集群资源的调度下发等管理任务。集群证书是有有效期的,到期前需要进行证书更新,以确保paas平台与各集群的正常使用。平台和集群均需要进行证书的替换,为了在证书更新期间保证完成更新的集群与尚未完成更新的集群都能正常地与paas平台通信,现有技术中通常会先给paas平台新增一个证书认证的分支,由paas平台携带两份证书与集群进行通信,对每个集群进行证书的选择与校验,再进行集群的证书更新。
2、然而,采用paas平台新增证书认证分支的方式,需要针对平台的每个接口及下设节点进行逐个改造,增加了paas平台的开发成本。当全部的集群完成证书更新后,为保证平台性能,需要再逐个关闭证书认证分支,增加了很多后期代码维护成本。当集群证书再次到期时,又要进行前述的代码改造升级,造成整个平台的代码维护成本剧增。并且,通常平台侧的代码体量庞大,所提供的接口和下设节点众多,在新增证书认证分支过程中如有遗漏,会影响平台部分功能的使用,进而影响平台用户的使用,引发生产问题,增加了平台的生产隐患。另外,由于改造后平台与集群进行通信时,都会先进行证书的选择与校验,降低了整个平台的运行性能。
3、针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
2、根据本专利技术实施例的一个方面,提供了一种证书更新方法,包括:接收目标平台发送的证书更新通知,生成待更新的根证书文件,其中,目标平台用于管理多个kubernetes集群;依据证书更新通知包含的集群标识确定多个目标集群,并依据待更新的根证书文件生成每个目标集群对应的证书集合,其中,每个证书集合包括多个证书文件,每个证书文件包含其对应的目标集群的集群标识信息;获取每个目标集群的当前根证书文件,并依据待更新的根证书文件和当前根证书文件,生成每个目标集群对应的目标证书文件,其中,当前根证书文件为有效期限小于预设期限阈值的根证书文件;依据证书集合和目标证书文件,对每个目标集群的证书进行更新。
3、进一步地,在依据证书更新通知包含的集群标识确定多个目标集群之后,该方法还包括:将每个目标集群的第一配置项配置为第一时长,其中,第一配置项用于表征目标集群中的容器的驱逐时长,第一配置项位于每个目标集群的控制节点包含的第一组件的配置文件中。
4、进一步地,目标集群包括存储节点、控制节点以及工作节点,其中,依据待更新的根证书文件生成每个目标集群对应的证书集合,包括:对于每个目标集群,分别依据待更新的根证书文件生成存储节点对应的第一证书文件集合、控制节点对应的第二证书文件集合以及工作节点对应的第三证书文件集合;依据第一证书文件集合、第二证书文件集合以及第三证书文件集合,生成每个目标集群对应的证书集合。
5、进一步地,依据待更新的根证书文件和当前根证书文件,生成每个目标集群对应的目标证书文件,包括:分别对待更新的根证书文件和每个目标集群的当前根证书文件进行合并处理,得到每个目标集群对应的合并后的根证书文件;将合并后的根证书文件作为每个目标集群对应的目标证书文件。
6、进一步地,在依据待更新的根证书文件和当前根证书文件,生成每个目标集群对应的目标证书文件之后,该方法还包括:对于每个目标集群,分别将存储节点的证书目录下的当前证书文件替换为第一证书文件集合和目标证书文件,将控制节点的证书目录下的当前证书文件替换为第二证书文件集合和目标证书文件,将工作节点的证书目录下的当前证书文件替换为第三证书文件集合和目标证书文件。
7、进一步地,在依据证书集合和目标证书文件,对每个目标集群的证书进行更新之前,该方法还包括:将每个目标集群的第二配置项配置为目标路径,其中,第二配置项用于控制每个目标集群的控制节点对外通信所使用的证书,第二配置项位于每个目标集群的控制节点包含的第二组件的配置文件中。
8、进一步地,依据证书集合和目标证书文件,对每个目标集群的证书进行更新,包括:对于每个目标集群,分别重启存储节点上的组件、控制节点上的组件以及工作节点上的组件,以完成每个目标集群的证书更新。
9、进一步地,在依据证书集合和目标证书文件,对每个目标集群的证书进行更新之后,该方法还包括:向目标平台发送证书更新完成通知,以使目标平台在接收到证书更新完成通知之后,获取每个目标集群的控制节点对应的第二证书文件集合中的第一目标证书文件,将平台证书目录下的当前证书文件替换为第一目标证书文件。
10、根据本专利技术实施例的另一方面,还提供了一种证书更新装置,包括:接收模块,用于接收目标平台发送的证书更新通知,生成待更新的根证书文件,其中,目标平台用于管理多个kubernetes集群;第一生成模块,用于依据证书更新通知包含的集群标识确定多个目标集群,并依据待更新的根证书文件生成每个目标集群对应的证书集合,其中,每个证书集合包括多个证书文件,每个证书文件包含其对应的目标集群的集群标识信息;第二生成模块,用于获取每个目标集群的当前根证书文件,并依据待更新的根证书文件和当前根证书文件,生成每个目标集群对应的目标证书文件,其中,当前根证书文件为有效期限小于预设期限阈值的根证书文件;处理模块,用于依据证书集合和目标证书文件,对每个目标集群的证书进行更新。
11、根据本专利技术实施例的另一方面,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的证书更新方法。
12、根据本专利技术实施例的另一方面,还提供了一种电子设备,该电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的证书更新方法。
13、在本专利技术实施例中,采用由集群携带多证书进行灰度升级的方式,首先接收目标平台发送的证书更新通知,生成待更新的根证书文件,然后依据证书更新通知包含的集群标识确定多个目标集群,并依据待更新的根证书文件生成每个目标集群对应的证书集合,然后获取每个目标集群的当前根证书文件,并依据待更新的根证书文件和当前根证书文件,生成每个目标集群对应的目标证书文件,然后依据证书集合和目标证书文件,对每个目标集群的证书进行更新。其中,目标平台用于管理多个kubernetes集群,每个证书集合包括多个证书文件,每个证书文件包含其对应的目标集群的集群标识信息,当前根证书文件为有效期限小于预设期限阈值的根证书文件。
14、通过本文档来自技高网...
【技术保护点】
1.一种证书更新方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在依据所述证书更新通知包含的集群标识确定多个目标集群之后,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述目标集群包括存储节点、控制节点以及工作节点,其中,依据所述待更新的根证书文件生成每个目标集群对应的证书集合,包括:
4.根据权利要求1所述的方法,其特征在于,依据所述待更新的根证书文件和所述当前根证书文件,生成所述每个目标集群对应的目标证书文件,包括:
5.根据权利要求3所述的方法,其特征在于,在依据所述待更新的根证书文件和所述当前根证书文件,生成所述每个目标集群对应的目标证书文件之后,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在依据所述证书集合和所述目标证书文件,对所述每个目标集群的证书进行更新之前,所述方法还包括:
7.根据权利要求3所述的方法,其特征在于,依据所述证书集合和所述目标证书文件,对所述每个目标集群的证书进行更新,包括:
8.根据权利要求1所述的方法,其特征在于
9.一种证书更新装置,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的证书更新方法。
11.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现用于运行程序,其中,所述程序被设置为运行时执行所述权利要求1至8任一项中所述的证书更新方法。
...【技术特征摘要】
1.一种证书更新方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在依据所述证书更新通知包含的集群标识确定多个目标集群之后,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述目标集群包括存储节点、控制节点以及工作节点,其中,依据所述待更新的根证书文件生成每个目标集群对应的证书集合,包括:
4.根据权利要求1所述的方法,其特征在于,依据所述待更新的根证书文件和所述当前根证书文件,生成所述每个目标集群对应的目标证书文件,包括:
5.根据权利要求3所述的方法,其特征在于,在依据所述待更新的根证书文件和所述当前根证书文件,生成所述每个目标集群对应的目标证书文件之后,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,在依据所述证书集合和所述目标证书文件,对所述每个目标集群的证书进行更新之前,所述方法还包...
【专利技术属性】
技术研发人员:王雪亭,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。