容器云加密NFS存储资源处理方法、装置及系统与流程
- 国知局
- 2024-11-21 11:34:30
本发明涉及容器云平台的存储资源管理,尤其涉及一种容器云加密nfs存储资源处理方法、装置及系统。
背景技术:
1、随着以docker(是paas提供商dotcloud开源的一个基于lxc的高级容器引擎)为代表的容器技术在国内的迅速发展,容器云也逐渐被广大开发者所熟知。容器云技术同时带来了云存储的广泛应用。容器存储标准接口是由来自kubernetes、mesos、docker等社区联合制定的一个行业标准接口规范,容器存储标准接口的设计目的是允许第三方存储供应商开发符合标准的插件,进而无缝集成到容器云平台,为容器提供持久化存储服务。
2、其中,容器数据卷的设计目的是实现数据的持久化,完全独立于容器的生存周期。即使容器被删除,其挂载的数据卷中的数据仍然存在,从而可以轻松地重新创建容器并恢复数据。
3、本案申请人在先的cn111753326b专利公开了一种《容器云平台云存储资源加密方法、系统及介质》,其存储资源基于本地盘的块存储方式。基于业务上存在的多元需求,使得有些业务需要使用基于本地盘的块存储方式,有些业务则需要采用nfs(network filesystem,网络文件系统)的存储方式。
4、其中,nfs是当前主流的异构平台共享文件系统。通过使用nfs,用户和程序可以像访问本地文件一样访问远端系统上的文件。换言之,nfs可用于不同类型的计算机、操作系统、网络架构和传输协议运行环境中的文件远程访问和共享。基于此,nfs也成为了容器云平台的可用存储资源。
5、基于后端存储资源不同,从而有待于重新开发云平台对nfs资源处理方式和管理流程的配套技术。
技术实现思路
1、本发明目的在于公开一种容器云加密nfs存储资源处理方法、装置及系统,以解决现有块存储方式所覆盖业务场景受限的缺陷。
2、为达上述目的,本发明公开的容器云加密nfs存储资源处理方法,包括:
3、在容器云平台与后台存储器之间部署nfs存储加密装置;
4、以存储插件建立所述容器云平台与所述nfs存储加密装置之间的数据交互机制;
5、所述nfs存储加密装置在接收到所述容器云平台经所述存储插件发送的创建卷请求时,基于所述后台存储器的资源创建nfs用户及对应的用户目录,并对该nfs用户分配唯一的密钥;且在接收到所述容器云平台经所述存储插件发送的映射请求时,再根据该密钥对该用户目录加密得到加密目录,然后将该加密目录通过nfs协议导出至隶属于所述容器云平台的目标应用主机上,使目标应用主机可以正常使用所述加密目录,且目标应用主机所有对该加密目录的数据操作通过该密钥转换成密文存储在所述后台存储器中。
6、为达上述目的,本发明还公开一种nfs存储加密装置,包括用户管理模块和加密模块,所述用户管理模块与所述加密模块协同以实现:
7、在接收到容器云平台经存储插件发送的创建卷请求时,基于所述后台存储器的资源创建nfs用户及对应的用户目录,并对该nfs用户分配唯一的密钥;且在接收到所述容器云平台经所述存储插件发送的映射请求时,再根据该密钥对该用户目录加密得到加密目录,然后将该加密目录通过nfs协议导出至隶属于所述容器云平台的目标应用主机上,使目标应用主机可以正常使用所述加密目录,且目标应用主机所有对该加密目录的数据操作通过该密钥转换成密文存储在所述后台存储器中。
8、为达上述目的,本发明还公开一种容器云加密nfs存储资源处理系统,包括容器云平台、后台存储器、以及nfs存储加密装置,所述nfs存储加密装置部署在所述容器云平台与所述后台存储器之间;以及还包括用于建立所述容器云平台与所述nfs存储加密装置之间的数据交互机制的存储插件;
9、所述nfs存储加密装置,用于在接收到容器云平台经存储插件发送的创建卷请求时,基于所述后台存储器的资源创建nfs用户及对应的用户目录,并对该nfs用户分配唯一的密钥;且在接收到所述容器云平台经所述存储插件发送的映射请求时,再根据该密钥对该用户目录加密得到加密目录,然后将该加密目录通过nfs协议导出至隶属于所述容器云平台的目标应用主机上,使目标应用主机可以正常使用所述加密目录,且目标应用主机所有对该加密目录的数据操作通过该密钥转换成密文存储在所述后台存储器中。
10、基于上述方法、装置及系统,优选地,所述nfs存储加密装置在接收到所述容器云平台经所述存储插件发送的删除卷请求时,删除该删除卷请求中指定的用户目录。
11、优选地,所述nfs存储加密装置在接收到所述容器云平台经所述存储插件发送的解除映射请求时,卸载该目标应用主机上明文的用户目录并解除所述映射关系。
12、优选地,至少两个所述nfs存储加密装置形成主主集群。
13、优选地,创建nfs用户及对应的用户目录的后台存储器资源具体为磁盘阵列提供的同一个磁盘或者分布式存储提供的同一个nfs目录。
14、优选地,对于同一个nfs用户目录的多容器挂载通过控制挂载点为同一台nfs存储加密装置解决nfs存储分布式数据不一致的问题;对于多个nfs用户目录多容器挂载的并发请求,通过lvs(linux virtual server,linux虚拟服务器)实现nfs存储及nfs存储加密装置资源的负载均衡;其中,一个目标应用主机即为一个容器。
15、本发明具有以下有益效果:
16、1、在安全性、便利性等方面,基于对用户目录的系列处理,能达到与cn111753326b专利以块存储方式对本地盘资源同样的技术效果;例如:防止云存储数据被恶意窃取以及篡改,可十分方便地为容器分配云端的加密存储资源等。
17、2、对创建卷、删除卷、映射及解除映射等资源请求的分类与现有的块存储方式一致,从而使得本发明nfs存储资源处理可以在同一容器云平台中与现有的块存储方式同时并存以形成互补关系,也便于本发明的推广实施。
18、下面将参照附图,对本发明作进一步详细的说明。
技术特征:1.一种容器云加密nfs存储资源处理方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,还包括:
3.根据权利要求1或2所述的方法,其特征在于,创建nfs用户及对应的用户目录的后台存储器资源具体为磁盘阵列提供的同一个磁盘或者分布式存储提供的同一个nfs目录。
4.根据权利要求1或2所述的方法,其特征在于,至少两个所述nfs存储加密装置形成主主集群。
5.根据权利要求1或2所述的方法,其特征在于,对于同一个nfs用户目录的多容器挂载通过控制挂载点为同一台nfs存储加密装置解决nfs存储分布式数据不一致的问题;对于多个nfs用户目录多容器挂载的并发请求,通过lvs实现nfs存储及nfs存储加密装置资源的负载均衡;其中,一个目标应用主机即为一个容器。
6.一种nfs存储加密装置,其特征在于,包括用户管理模块和加密模块,所述用户管理模块与所述加密模块协同以实现:
7.根据权利要求6所述的装置,其特征在于,所述用户管理模块还用于在接收到所述容器云平台经所述存储插件发送的删除卷请求时,删除该删除卷请求中指定的用户目录;以及在接收到所述容器云平台经所述存储插件发送的解除映射请求时,卸载该目标应用主机上明文的用户目录并解除所述映射关系。
8.一种容器云加密nfs存储资源处理系统,其特征在于,包括容器云平台、后台存储器、以及nfs存储加密装置,所述nfs存储加密装置部署在所述容器云平台与所述后台存储器之间;以及还包括用于建立所述容器云平台与所述nfs存储加密装置之间的数据交互机制的存储插件;
9.根据权利要求8所述的系统,其特征在于,创建nfs用户及对应的用户目录的后台存储器资源具体为磁盘阵列提供的同一个磁盘或者分布式存储提供的同一个nfs目录。
10.根据权利要求8或9所述的系统,其特征在于,对于同一个nfs用户目录的多容器挂载通过控制挂载点为同一台nfs存储加密装置解决nfs存储分布式数据不一致的问题;对于多个nfs用户目录多容器挂载的并发请求,通过lvs实现nfs存储及nfs存储加密装置资源的负载均衡;其中,一个目标应用主机即为一个容器。
技术总结本发明涉及云平台技术领域,公开一种容器云加密NFS存储资源处理方法、装置及系统,以解决现有块存储方式所覆盖业务场景受限的缺陷。方法包括:NFS存储加密装置在接收到容器云平台经存储插件发送的创建卷请求时,基于后台存储器的资源创建NFS用户及对应的用户目录,并对该NFS用户分配唯一的密钥;且在接收到容器云平台经存储插件发送的映射请求时,再根据该密钥对该用户目录加密得到加密目录,然后将该加密目录通过NFS协议导出至隶属于容器云平台的目标应用主机上,使目标应用主机可以正常使用加密目录,且目标应用主机所有对该加密目录的数据操作通过该密钥转换成密文存储在后台存储器中。技术研发人员:田泽,刘振宇,文云川,彭勇受保护的技术使用者:湖南麒麟信安科技股份有限公司技术研发日:技术公布日:2024/11/18本文地址:https://www.jishuxx.com/zhuanli/20241120/331841.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。