Kubectl ignora il certificato

La crittografia TLS è un requisito essenziale di un sistema sicuro. Questo sistema supporta spontaneamente la terminazione TLS/HTTP. Questo semplifica la crittografia TLS e centralizza la terminazione TLS per ogni risorsa in Kubernetes. Questa gestione istintiva dei certificati è utile per semplici configurazioni TLS in un cluster. Tuttavia, i rappresentanti open source accedono ai requisiti forniti dal certificato per attivare TLS. In questo articolo, descriviamo la procedura di assistenza TLS utilizzando un certificato formato utilizzando il servizio OpenSSL.

Prerequisiti:

Per l'esecuzione dei comandi in Kubernetes, dobbiamo installare Ubuntu 20.04. Qui, utilizziamo il sistema operativo Linux per eseguire i comandi Kubectl. Ora, installiamo il cluster Minikube per eseguire Kubernetes in Linux. Minikube offre una comprensione estremamente fluida in quanto fornisce una modalità efficiente per testare i comandi e le applicazioni. In questo articolo, discuteremo del certificato Kubectl Ignore.

Metodi per ignorare il certificato:

A Kubectl Ignora il certificato, dobbiamo iniziare il minikube:

Avvia minikube:

Dopo aver installato il cluster minikube, dobbiamo avviare Ubuntu 20.04. Innanzitutto, dobbiamo aprire un terminale per l'esecuzione dei comandi. A tale scopo, premi del tutto "Ctrl+Alt+T" sulla tastiera.

Nel terminal, scriviamo il comando "Avvia minikube", e dopo questo, aspettiamo unità che ha effettivamente iniziato. L'output di questo comando è fornito di seguito:

Questo processo richiede tempo e aspetteremo di eseguire la procedura in modo efficiente.

Certificati TLS:

Questo articolo spiega i certificati TLS di livello HTTP. Il certificato TLS a livello di trasporto utilizza l'istruzione interna tra i nodi realizzati da ECK, e questi non devono essere modificati. Tuttavia, possiamo definire la nostra capacità di certificazione per il livello di trasporto.

Installa OpenSSL:

Il primo passo è installare OpenSSL. Lo strumento OpenSSL è generalmente preinstallato sul sistema operativo Linux.

Crea un certificato autofirmato:

OpenSSL è uno strumento utilizzato per creare certificati autofirmati e introdurre influenze crittografate TLS. Il seguente comando OpenSSL crea un certificato e una coppia di chiavi isolata che può essere utilizzata per terminare TLS. Qui, creiamo una chiave e un certificato isolato. Utilizziamo il comando successivo per verificare la legittimità del certificato:

Il comando sopra menzionato utilizza il nome comune "Ambassador" per fare un certificato e una chiave isolata. Quindi, il certificato è autofirmato e viene utilizzato solo a scopo di test, quindi qualsiasi altro dato richiesto può essere vuoto:

Cariciamo dinamicamente la certificazione TLS interpretando il certificato a partire dal segreto Kubernetes. Utilizzare il kubectl per rendere un segreto TLS contenente il file PEM formato sopra:

Tell Ambassador Edge Stack di utilizzare questo segreto per la terminazione TLS:

Ora, il certificato e la chiave isolata sono archiviati in un segreto Kubernetes chiamato TLS-CERT. Dobbiamo utilizzare quel certificato per terminare TLS per il dominio. L'host viene utilizzato per aggiornare il certificato utilizzato per terminare TLS nel dominio. Inoltre, costruisce l'host successivo per utilizzare il segreto fatto sopra per fermare TLS su tutte le aree:

Se il cluster sta eseguendo numerose istanze, assicurarsi di coinvolgere Ambassador_ID nella specifica:

Eseguendo questo comando, otteniamo l'apiversione di informazioni, il tipo, i metadati, il nome, le specifiche e l'ambasciatore_id.

Applichiamo l'host costruito con kubectl. In questo passaggio, stiamo usando “Kubectl Create -f host.comando yaml ":

Ci siamo organizzati per monitorare il traffico TLS su Harbour 8443 e quindi terminare TLS con l'aiuto del certificato autofirmato che abbiamo formato.

Ottieni Ambassador di servizio:

Ora, vogliamo dirigere il traffico codificato terminato su HTTPS. Innanzitutto, ci viene assicurato il servizio su 443 e avanzando sulla porta 8443. Controlliamo questo con l'aiuto del comando "Kubectl Get Service Ambassador -o Yaml":

Quando l'output del comando Kubectl non sembra l'esempio sopra menzionato, dirigi l'amenità dello stack Edge Ambassador per migliorare la porta HTTPS. Successivamente convalidando che lo stack di Ambassador Edge frequenta la porta 443, usa Curl per dirigere la richiesta del servizio back -end.

Nel frattempo, utilizziamo il certificato autofirmato. Dobbiamo correggere il flag K per disattivare l'autenticazione del nome host.

Conclusione:

In questo articolo, otteniamo un certificato efficace da un'autorità di certificazione pertinente. I certificati autofirmati sono un metodo facile e rapido per acquisire lo stack di Ambasciatore Edge per licenziare TLS, ma non possono essere utilizzati nei sistemi di produzione. Per assistere il traffico HTTPS privato delle precauzioni di sicurezza, desideriamo un certificato da un'autorità di certificazione approvata. Attraverso lo stack di Ambassador Edge, potremmo farlo semplicemente chiedendo un certificato attraverso la manutenzione integrata. Per il gateway API, offriamo un metodo facile per acquisire certificati. Abbiamo discusso in questo articolo su come ottenere le informazioni sui certificati ignorati. Lo stack di Ambassador Edge fornisce una configurazione di numerose selezioni innovative relative alla terminazione TLS, all'origine, all'autenticazione del certificato utente e al supporto SNI. Speriamo che tu abbia trovato questo articolo utile. Dai un'occhiata al suggerimento di Linux per ulteriori suggerimenti e informazioni.