Legg til et SSL/TLS -sertifikat i Kubernetes Cluster

Elias Aalerud Aasen
Legg til et SSL/TLS -sertifikat i Kubernetes Cluster

SSL -sertifikater brukes til å sikre applikasjonen som er laget på Kubernetes for fremtidig sikkerhet. La oss ta et nytt sikkert sertifikat, TLS, som inneholder en veldig sikker privat nøkkel. Sertifikater opprettes med sertifikater: K8R.io api. Vi vil lære om SSL -sertifikatkonfigurasjon ved hjelp av detaljerte eksempler. La oss starte med SSL -sertifikatet i Kubernetes. SSL -sertifikater er veldig viktig for nettlesere. Nettleseren, ved hjelp av SSL- og TLS -sertifikater, oppretter en sikker forbindelse med Kubernetes -tjenester.

Forutsetninger:

Hver bruker må ha Ubuntus siste versjon av systemet sitt. Brukeren av Windows -operativsystemet installerer en virtuell boks og legger til Ubuntu eller Linux praktisk talt til systemet. Brukere må være kjent med Kubernetes, KUBECTL -kommandolinjen, belg og klynger, og kjenner klynge DNS for å forstå dette emnet bedre.

La oss se kort på SSL -sertifikatkonfigurasjon i Kubernetes ved å dele hele prosedyren i forskjellige trinn.

Trinn 1: Start Kubernetes kontrollpanel

Vi vil ha et miljø i vår søknad der vi kan kjøre Kubernetes -kommandoer for å utføre Kubernetes -oppgaver. Som et resultat gir Kubernetes oss en lokalbasert beholder som heter “Minikube.”På hver Kubernetes -applikasjonsstart vil vi starte en Minikube i Kubernetes, som i utgangspunktet er en terminal, som er nødvendig for å kjøre Kubernetes -kommandoer. I dette trinnet kjører vi kommandoen for å initialisere Minikube, som er:

> Minikube Start

Når vi kjører denne kommandoen på systemterminalen vår, starter utførelsen av kommandoen med å trykke på ENTER -knappen. Kommandoen viser oss et skjermbilde under festet skjermbilde.

Trinn 2: Generer forespørsel om sertifikat signering

Etter å ha opprettet en klynge ved å bruke Minikube, ønsker vi nå å opprette en sertifikat signeringsforespørsel. I bytte mot denne handlingen kjører vi kommandoen for å signere sertifikatforespørselen og generere en privat nøkkel.

> katt <

Etter utførelse av spørringen genereres forespørselen med den private nøkkelen. Resultatet er knyttet ovenfor som et skjermbilde.

Trinn 3: Opprett et sertifikat signeringsforespørsel manifest i YAML -filen

I dette trinnet vil vi lage en YAML -filmanifest for å lage en CSR i Kubernetes. Vi kjører kommandoen nedenfor:

> katt <

Etter utførelsen av denne kommandoen opprettes en YAML -fil med hell. Og vi sender den til API -serveren, som vist i vedlagte skjermbilde.

Trinn 4: Få status for sertifikatforespørsel Forespørsel

I dette trinnet vil vi se på CSR -statusen sett gjennom API. Vi kan kjøre den gitte kommandoen for å hente statusen til sertifikatforespørselen.

> Kubectl beskriv CSV MY-SVC.My-namespace

Når kommandoen kjøres, vises CSR -status i utgangen, som vist på vedlagte skjermbilde. Statusen til CSR er "verserende", og denne statusen kommer fra API. Navnet på filen er My-SVC. My-namespace og merknader, ber om bruker og emne, emner alternative navn som har DNS-navn og IP-adresser, hendelser osv. er inkludert i CSR -beskrivelsen. Statusen er "verserende", noe som betyr at CSR -sertifikatet ikke er godkjent ennå.

Trinn 5: CSR -sertifikater godkjenning

CSR -sertifikatets status er fremdeles i påvente av. Så i dette tilfellet vil vi sende en spørring til Kubernetes 'API for å godkjenne CSR -sertifikatet. Vi kjører denne kommandoen for godkjenning:

> Kubectl Certificate godkjenner My-SVC .My-namespace

Kommandoen viser utgangen etter utførelse. En autorisert person, for eksempel Kubernetes -administrasjonen, godkjenner CSR -sertifikatet. Når vi er autoriserte brukere, oppretter vi YAML -filer. Som et resultat blir CSR -sertifikatet enkelt godkjent ved bruk av kommandoen, som vist på skjermdumpen nedenfor for avklaring.

My-SVC.My-namespace er godkjent med suksess gjennom sertifikatene.K8s.io api.

Trinn 6: Hent CSR -sertifikatet i Kubernetes

Vi venter nå på å se om CSR -sertifikatet er godkjent. Så vi vil kjøre kommandoen for å få en liste over alle CSR -sertifikater som for tiden er aktive i systemet. Kjør kommandoen:

> Kubectl Få CSR

Navnet på det godkjente CSR -sertifikatet i Kubernetes vises på vedlagte skjermbilde. Denne kommandoen returnerer navnet, alder, signatørnavn, forespørsel, forespurt varighet og betingelse for CSR -sertifikatet.

Trinn 7: Signer sertifikatet ved å opprette myndighet

I dette trinnet vil vi se hvordan sertifikater er signert i Kubernetes. SSL -sertifikatet er godkjent, men ikke signert ennå. Navnet på signatoren vises på sertifikatet i Kubernetes. Vi kjører kommandoen som den forespurte signatoren signerer sertifikatet. Kommandoen er:

> katt <
"CN": "Mitt eksempel signere",
"nøkkel":
"Algo": "RSA",
"Størrelse": 2048


Eof

Kommandoen kjøres for å signere sertifikatet digitalt. Signer signerer de forespurte sertifikatene og oppdaterer API -statusen med kommandoen, “SSL -sertifikat.”Vi opprettet et signeringssertifikat ved å kjøre kommandoen ovenfor, og resultatet vises i vedlagte skjermbilde. Et unikt serienummer har vellykket blitt brukt til å signere sertifikatet.

Trinn 8: Opprett en JSON -fil for å utstede et sertifikat

Etter sertifikatsigneringen oppretter vi en JSON -fil som vi utsteder et sertifikat. Vi oppretter en JSON -fil ved å kjøre følgende kommando med vedlagte skjermbilde:

> Nano SigningFile.JSON

Etter at kommandoen er utført, opprettes JSON -filen som kan vises på skjermdumpen nedenfor.

Trinn 9: Bruk serversignende-konfigurasjon.JSON

I dette trinnet bruker vi server-signering-konfig-filen som er i JSON for å signere og utstede sertifikatene. Vi kjører kommandoen for sertifikat signering med en privat nøkkelfil.

> Kubectl Få CSR My-SVC.my -namespace -o jsonPath = '.spesifikasjon.forespørsel '| \ Base64 -Decode | \ CFSSL Sign -ca CA.PEM -CA CA-Key Ca-Key.PEM -Config Server-Signing-Config.JSON | \ Cfssljson-Pare CA-signert-server

Etter denne kommandoen er sertifikatet som allerede er definert i JSON -filen, signert. Denne CSRs serienummer genereres. Her genererer vi en signert serveringssertifikatfil som heter “CA-signert-server.Pem.”

Trinn 10: Signert sertifikat Last opp i API -objekt

I dette trinnet laster vi opp det signerte sertifikatet til den ventende API -statusen som vi så ovenfor. Kommandoen for opplasting er:

> Kubectl Få CSR My-SVC.MY -NAMESPACE -O JSON | \ jq '.status.sertifikat = "
'$ (Base64 CA-signert-server.pem | tr -d '\ n') '"' | \
> Kubectl erstatning -Raw /APIer /sertifikater.K8s.IO/V1/CertificateSigningRequests/My-SVC.My -navneområde/status -f -

Når denne kommandoen blir utført, lastes opp det signerte sertifikatet når CSR er godkjent. Skjermbildet som er vedlagt viser oss et JSON -format som laster opp det signerte sertifikatet som API -objekter.

Trinn 11: Våkker godkjente sertifikater i Kubernetes

Vi kjører igjen kommandoen for å vise de godkjente sertifikatene i Kubernetes.

> Kubectl Få CSR

Sertifikatet ble godkjent og vellykket utstedt, som vist på skjermdumpen ovenfor.

Trinn 12: Lagre sertifikatet i systemet

I dette trinnet lærer vi hvordan du laster ned det signerte sertifikatet og bruker det med hell i systemet vårt. Vi distribuerer enkelt sertifikatet på serveren. Kommandoen er:

> Kubectl Få CSR My-SVC.my -namespace -o jsonPath = '.status.sertifikat '\
| Base64 -Decode> Server.crt

Trinn 13: Folker sertifikatet

I dette trinnet lærer vi hvordan vi kan fylle sertifikatet på serveren, slik at vi enkelt kan bruke sertifikatet til websikkerhet. Vi kjører kommandoen:

kalsoom@kalsoom> kubectl opprette hemmelig tls -server -cert server.CRT-Key Server-Key.Pem

Ovennevnte skjermbilde viser oss at TLS Secure eller Secret Server er opprettet med suksess med Name Cert Server.CR og å ha privat nøkkel-servernøkkel.Pem.

Trinn 14: Konfigurer kartlegget sertifikatet

I dette trinnet vil vi konfigurere sertifikatet for å sikre at det er et sikkert serveringssertifikat ved å kjøre kommandoen nedenfor:

> KUBECTL Lag ConfigMap Eksempel-servering-CA-fra-fil Ca.CRT = Ca.Pem

Som vist på vedlagte skjermbilde, opprettes Config Map/Explie-servering-CA med suksess i Kubernetes for en sikker tilkobling på webserveren.

Konklusjon

SSL -sertifikater brukes til å gi sikkerhet til Kubernetes -applikasjoner på webserveren. Vi forklarte hver trinn-i detalj for din forståelse. Du kan også kjøre de samme kommandoene på Kubernetes -applikasjonen din for å installere SSL -sertifikatet.

Python
Hva er B -streng i Python?
I Python brukes B -notasjonen ved siden av vanlig streng og encode () -metoden for å konvertere stre...
Mathias Halvorsen
C programmering
Hva er strenger i C -programmering?
En streng er en sekvens av tegn. C støtter ikke eksplisitt strengdatatyper. Men det kan brukes ved h...
Elias Krogh Svendsen
Golang
Hva er konstanter i Golang?
På GO -språket er konstanter variabler med faste verdier som ikke kan endres under utførelse av prog...
Oskar Fossum
Python
Hvordan bruke Xrange i Python
Simen Stensrud
Python
Python finner indeksen for alle forekomster i en liste
Mathias Halvorsen
Python
Python Ikke alle argumenter som er konvertert under strengformatering
Simen Ødegård
Java
Hvordan bruke byte nøkkelord i java
Simen Ødegård
html
Hvordan bruke MouseEvent Pagey -eiendom?
Daniel Berntsen
Aws
Hva er AWS Guardduty og hvorfor det brukes?
Erik Røed
Oracle Database
Hvordan Oracle Database er forskjellig fra Oracle SQL Developer?
Anders Fjeld Moe
Oracle Linux
Hva som skal være minimumssystemspesifikasjoner for Oracle Linux?
Elias Krogh Svendsen
Docker
Hvordan kan jeg installere Docker via Ubuntu Terminal?
Daniel Berntsen
Aws
Hva er en forekomst og hvordan du bruker den i EC2?
Tobias Andresen