(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211140330.1 (22)申请日 2022.09.20 (71)申请人 之江实验室 地址 311100 浙江省杭州市余杭区中泰街 道之江实验室南湖总部 (72)发明人 里哲　叶玥　潘淑　 (74)专利代理 机构 杭州浙科专利事务所(普通 合伙) 33213 专利代理师 孙孟辉　杨小凡 (51)Int.Cl. H04L 67/63(2022.01) H04L 61/4511(2022.01) H04L 67/56(2022.01) H04L 67/141(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于传输层路由访问k8s容器环 境的方 法及装置 (57)摘要 本发明公开了一种基于传输层路由访问k8s 容器环境的方法及装置， 应用于容器云平台， 获 取客户端的基于域名和固定端口的连接请求； 通 过域名解析服务器， 将连接请求解析并根据固定 端口， 转发到相应的代理服务器上； 代理服务器 根据预设的域名和容器集群目标节点的映射关 系， 将连接请求转发到目标节点； 根据预设的认 证方式， 建立网络连接。 本发明实现多租户的传 输层路由， 为开发人员提供基于安全外壳协议的 容器环境访问方式， 本发明只对外暴露预先设定 的代理服务器的固定端口， 避免了kubernetes集 群中容器组IP或Service端 口的外泄， 有效提升 了容器云平台的安全性。 权利要求书2页 说明书6页 附图2页 CN 115242882 A 2022.10.25 CN 115242882 A 1.一种基于传输层 路由访问k8s容器环境的方法， 应用于容器云平台， 其特征在于包括 如下步骤： 步骤S1： 获取客户端的基于域名和固定端口 的连接请求； 步骤S2： 通过域名解析服务器， 将连接请求解析并根据固定端口， 转发到相应的代 理服 务器上； 步骤S3： 代理服务器根据预设的域名和容器集群目标节点的映射关系， 将连接请求转 发到目标节点； 步骤S4： 根据预设的认证方式， 建立网络连接 。 2.根据权利要求1所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 所述步骤S1中， 获取客户端发起的基于安全外壳协 议ssh的连接请求， 使用的域名后缀及 端 口号是固定的， 域名前缀在容器组创建时由容器云平台动态分配。 3.根据权利要求1所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 所述步骤S2中， 域名解析服务器解析结果是一组作用相同的代理服务器列表 时， 根据预设 的负载均衡策略分配到相应的代理服 务器上。 4.根据权利要求1所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 所述步骤S3中， 映射关系是通过预设地址映射表， 构建域名和目标节点NodePort类型的 Service对象的映射关系， Service对象对应目标节点 IP和端口。 5.根据权利要求4所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 一组代理服务器查询的地址映射表数据是相同的， 地址映射表数据是键值对的形式， 查询 的索引是步骤S1中所述的域名， 查询得到的值是k8s容器集群目标节点中创建的NodePort 类型的Service对象， 数据形式为 IP:Port。 6.根据权利要求4所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 地址映射表数据在目标节点创建容器环境时上报， 具体地包括： 步骤S3.1： 前端或者API发起创建容器环境的请求， 接收创建请求， 解析成k8s  API能够 理解的参数并下发到k8s容器集群， 在 目标节点上创建容器组， 同时创建NodePort类型的 Service对象用于访问， 并为Service对象打上容器组资源名称的标签； 步骤S3.2： 基于域名后缀为当前容器组创建一个全局唯一的子域名， 与容器组名称相 关联并持久化存 储； 步骤S3.3： 查询 该容器组的状态以及对应标签的Service对象， 在容器组正常运行后， 将容器组相关信息写入地址映射表； 所述地址映射表包括： 资源名称、 访问域名、 NodePort 类型Service地址信息 。 7.根据权利要求6所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 所述步骤S3.1中， 容器环境通过创建deployment类型的资源提供， 以提供稳定的可访问容 器环境。 8.根据权利要求6所述的一种基于传输层路由访问k8s容器环境的方法， 其特征在于： 所述步骤S 3.2中， 为容器组创建全局唯一的域名后， 即时同步到域名解析服务器， 域名解析 服务器根据预设的负载均衡策略， 增 加代理服 务器列表中的IP和该域名映射的配置 。 9.一种基于传输层 路由访问k8s容器环境的装置， 包括连接请求获取模块、 域名解析服 务器、 代理服 务器和认证连接模块， 其特 征在于：权　利　要　求　书 1/2 页 2 CN 115242882 A 2所述连接请求获取模块， 用于获取客户端的基于域名和固定端口 的连接请求； 所述域名解析服 务器， 将连接请求 解析并根据固定端口， 转发到相应的代理服 务器上； 所述代理服务器， 根据预设的域名和容器集群目标节点的映射关系， 将连接请求转发 到目标节点； 所述认证连接模块， 根据预设的认证方式， 建立网络连接 。 10.根据权利要求9所述的一种基于传输层 路由访问k8s容器环境的装置， 其特征在于： 所述映射关系是通过预设地址映射表， 构建域名和目标节点NodePort类型的Service对象 的映射关系， Service对象对应目标节点 IP和端口； 具体通过应用层模块实现： 应用层模块接收创建容器环境的请求， 将其解析成k8s  API能够理解的参数并下发到 k8s容器集群， 在目标节点上创建容器组， 同时创建NodePort 类型的Service对象用于访问， 并为Service对象打上容器组资源名称的标签； 应用层模块基于域名后 缀为当前容器组创建一个全局唯一的子域名， 与容器组名称相 关联并持久化存 储； 应用层模块查询该容器组的状态以及对应标签的Service对象， 在容器组正常运行后， 将容器组相关信息写入地址映射表； 所述地址映射表包括： 资源名称、 访问域名、 NodePort 类型Service地址信息 。权　利　要　求　书 2/2 页 3 CN 115242882 A 3