本發明公開一種基于sidecar模式實現密碼動態加載的方法及工具，涉及kubernetes集群技術領域，其實現內容包括：在Secret?manager中預先配置需要生成密碼密鑰的內容，部署kubernetes集群時，通過Secret?manager中預先配置的內容生成kubernetes集群需要的所有密碼，并加密后存儲在預先指定的密碼存儲目錄下；在應用側和服務側部署統一的Secret?manager，Secret?manager部署應用pod，并自動生成預設的密碼管理策略及角色；使用secret?inject服務以sidecar模式將Secret?manager注入進應用pod，并掛載到應用pod預先指定的目錄中；應用pod啟動時，讀取掛載路徑中密碼文件的密碼信息，并攜帶該密碼訪問密碼使用服務。本發明可以減少運維人員配置的工作量、降低人工配置出錯的幾率，可以提高密碼使用過程中的安全指數，降低密碼泄露的風險。

技術領域

本發明涉及kubernetes集群技術領域，具體的說是一種基于sidecar模式實現密碼動態加載的方法及工具。

背景技術

隨著系統復雜度不斷增加，kubernetes集群內部的應用不斷增多，需要管理的密碼密鑰信息也隨之增多。而且，隨著應用的不斷擴充，以及新環境的部署，都需要運維人員手動管理密碼密鑰，這就大大增加了運維人員的工作量。

另外，在管理密碼密鑰的過程中，明文的配置導致密碼密鑰泄露的風險也不斷增大，具有很大的安全隱患。

發明內容

本發明針對kubernetes集群部署時的密碼配置問題，提供一種基于sidecar模式實現密碼動態加載的方法及工具。

首先，本發明提供一種基于sidecar模式實現密碼動態加載的方法，解決上述技術問題采用的技術方案如下：

一種基于sidecar模式實現密碼動態加載的方法，其實現過程包括：

在Secret-manager中預先配置需要生成密碼密鑰的內容，部署kubernetes集群時，通過Secret-manager中預先配置的內容生成kubernetes集群需要的所有密碼，并加密后存儲在預先指定的密碼存儲目錄下；

在應用側和服務側部署統一的Secret-manager，Secret-manager部署應用pod，并自動生成預設的密碼管理策略及角色，其中，密碼管理策略指定了包含的可訪問的目錄列表及對其的讀寫權限，角色信息包含角色名稱及其關聯的密碼管理策略列表；

使用secret-inject服務以sidecar模式將Secret-manager注入進應用pod，并掛載到應用pod預先指定的目錄中；

應用pod啟動時，讀取掛載路徑中密碼文件的密碼信息，并攜帶該密碼訪問密碼使用服務。

進一步的，Secret-manager根據預先配置的內容生成kubernetes集群需要的所有密碼，并將生成的密碼提供給與之生成相對應的密碼使用服務。

進一步的，Secret-manager中定義了一系列的策略policy，每個policy可以預先指定多個密碼存儲目錄，并使用正則表達式匹配密碼和密碼存儲目錄。

進一步的，在應用側和服務側初次部署統一的Secret-manager時，需要首先進行密碼初始化，隨后再部署應用pod。

進一步的，Secret-manager中預設了多個角色，角色與密碼管理策略相關聯，密碼使用者擁有某個角色后，即可訪問與該角色相關聯密碼管理策略所對應的密碼存儲目錄。

進一步的，角色與密碼管理策略可以是一對一關聯或者一對多關聯。

其次，本發明提供一種基于sidecar模式實現密碼動態加載的工具，解決上述技術問題采用的技術方案如下：