背景技术:
1、本发明总体上涉及集群管理和安全,并且更具体地,涉及对资源定义的静态部分进行签名。
2、云计算系统现在运行各种各样的任务关键应用,包括金融和政府机构。这样的系统可以以各种方式实现,包括若干容器编排系统中的任何一个。这种应用的敏感特性带来了对强安全性的需要,例如,用以防止资源在实施之前被篡改。
技术实现思路
1、一种用于验证资源定义的方法,包括:仿真原始资源定义以识别由管理服务对原始资源定义做出的至少一个改变。生成所接收的资源定义的签名,省略所接收的资源定义的与至少一个所识别的改变相对应的部分。将所接收的资源定义的签名与原始资源定义的签名进行比较以找到匹配并且验证所接收的资源定义。响应于找到匹配,实现所接收的资源定义。
2、一种用于验证资源定义的系统,包括硬件处理器和存储计算机程序代码的存储器。当计算机程序代码由硬件处理器执行时,它使硬件处理器仿真原始资源定义以识别由管理服务对原始资源定义做出的至少一个改变,生成所接收的资源定义的签名,省略所接收的资源定义的与至少一个所识别的改变相对应的部分,将所接收的资源定义的签名与原始资源定义的签名进行比较以找到匹配并且验证所接收的资源定义,以及响应于找到匹配而实现所接收的资源定义。
3、从以下结合附图阅读的对本发明的说明性实施例的详细描述中,这些和其它特征和优点将变得显而易见。
1.一种用于对资源定义进行验证的计算机实现的方法,包括:
2.根据权利要求1所述的方法,其中所述原始资源定义和所接收的资源定义是针对容器管理器定义的。
3.根据权利要求2所述的方法,其中所述至少一个改变由所述容器管理器在处理任何资源定义期间引入。
4.根据权利要求2所述的方法,其中仿真所述原始资源定义包括使用所述容器管理器的dryrun功能运行所述原始资源定义。
5.根据权利要求1所述的方法,其中仿真所述原始资源定义包括至少两次运行所述原始资源定义的仿真。
6.根据权利要求1所述的方法,其中生成所接收的资源定义的签名包括从所接收的资源定义移除所接收的资源定义的与所识别的至少一个改变相对应的部分,然后从剩余部分生成签名。
7.根据权利要求1所述的方法,还包括从用户接收所接收的资源定义,其中所述仿真原始资源定义是在接收到所接收的资源定义之后执行的。
8.根据权利要求7所述的方法,其中还包括生成所述原始资源定义的签名,其中生成所述原始资源定义的签名是在接收到所接收的资源定义之前执行的。
9.根据权利要求1所述的方法,其中所述原始资源定义和所接收的资源定义是基于文本的yaml文件。
10.根据权利要求1所述的方法,其中实现所接收的资源定义包括在本地处理节点上安装对应的资源。
11.一种用于对资源定义进行验证的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其实施的程序指令,所述程序指令可由硬件处理器执行以使所述硬件处理器:
12.根据权利要求11所述的计算机程序产品,其中所述原始资源定义和所接收的资源定义是针对容器管理器定义的。
13.根据权利要求12所述的计算机程序产品,其中所述至少一个改变由所述容器管理器在处理任何资源定义期间引入。
14.根据权利要求12所述的计算机程序产品,其中仿真所述原始资源定义包括使用所述容器管理器的dryrun功能运行所述原始资源定义。
15.根据权利要求11所述的计算机程序产品,其中仿真所述原始资源定义包括至少两次运行所述原始资源定义的仿真。
16.根据权利要求11所述的计算机程序产品,其中生成所接收的资源定义的签名包括从所接收的资源定义移除所接收的资源定义的与所识别的至少一个改变相对应的部分,然后从剩余部分生成签名。
17.根据权利要求11所述的计算机程序产品,其中所述程序指令还可由硬件处理器执行以使所述硬件处理器从用户接收所接收的资源定义,其中所述仿真原始资源定义是在接收到所接收的资源定义之后执行的。
18.根据权利要求17所述的计算机程序产品,其中所述程序指令还可由硬件处理器执行以使所述硬件处理器生成所述原始资源定义的签名,其中生成所述原始资源定义的签名是在接收到所接收的资源定义之前执行的。
19.根据权利要求11所述的计算机程序产品,其中实现所接收的资源定义包括在本地处理节点上安装对应资源。
20.一种用于对资源定义进行验证的系统,包括: