如今,越来越多的企业选择将应用程序或者Web服务迁移到基于容器的云端,Kubernetes容器集群管理平台是当前最为普遍的选择。应用迁移至Kubernetes有三种方式,即重新托管、重新平台化及重构。重新托管就是直接将应用容器化,对于大型企业级应用来说难以实现;后两者的迁移方式都涉及将单体式架构应用转换为微服务架构式应用。在微服务系统架构中,安全认证微服务决定整个系统的安全及性能,因此设计实现一个高可用的安全认证微服务显得尤为重要。单体式应用的安全认证通常在过滤器或者拦截器中完成认证流程,而在微服务架构中,认证功能作为一个单独的微服务存在,通过HTTP、gRPC等方式提供认证服务,这导致认证效率、可用性以及安全性一定程度上的降低。针对上述问题,本文提出了有状态的容器主备集群方案实现认证微服务,主要工作如下:(1)根据微服务架构特点以及Kubernetes平台的组件特性,设计实现了基于本地缓存和持久化存储的有状态的容器主备集群运行模式,并设计认证API用于规范外部访问以及微服务间内部访问接口。(2)基于OAuth2.0协议和RBAC(基于角色的权限控制)框架设计实现了认证微服务的认证功能模块,并拓展了免认证IP快捷认证、白名单、认证相关数据配置以及租户资源统一管理等功能。(3)设计并实现认证微服务的高可用方案,利用Zookeeper的集群管理功能实现认证微服务的主备集群模式,并设计实时同步和批量备份并行的数据一致性方案解决微服务的熔断风险,保证认证微服务的高可用性。本文提出的安全认证微服务解决方案已被应用于新华三Supercontroller项目,在实际运行环境中通过第一轮系统测试,实验表明可以为系统提供高可用的认证授权服务。