Kubectl ignorerer sertifikat

TLS -kryptering er et essensielt krav til et sikkert system. Dette systemet støtter spontant TLS -terminering/HTTP. Dette forenkler TLS -kryptering og sentraliserer TLS -avslutning for hver ressurs i Kubernetes. Denne instinktive sertifikatstyringen er nyttig for enkle TLS -konfigurasjoner i en klynge. Imidlertid får open source-representanter tilgang til kravene som er gitt av sertifikatet for å aktivere TLS. I denne artikkelen beskriver vi prosedyren for å hjelpe TLS ved hjelp av et sertifikat som er dannet ved å bruke OpenSSL -tjenesten.

Forutsetninger:

For å kjøre kommandoene i Kubernetes, må vi installere Ubuntu 20.04. Her bruker vi Linux -operativsystemet for å utføre KUBECTL -kommandoene. Nå installerer vi Minikube -klyngen for å kjøre Kubernetes i Linux. Minikube tilbyr en ekstremt jevn forståelse da den gir en effektiv modus for å teste kommandoene og applikasjonene. I denne artikkelen skal vi diskutere KUBECTL Ignore Certificate.

Metoder for å ignorere sertifikat:

For å Kubectl ignorere sertifikat, må vi starte Minikube:

Start Minikube:

Etter å ha installert Minikube -klyngen, må vi starte Ubuntu 20.04. Først må vi åpne en terminal for å kjøre kommandoene. For dette formålet trykker vi “Ctrl+Alt+T” helt på tastaturet.

I terminalen skriver vi kommandoen "Start Minikube", og etter dette har vi venter på at den effektivt har startet. Utgangen fra denne kommandoen er gitt nedenfor:

Denne prosessen er tidkrevende, og vi vil vente med å utføre prosedyren effektivt.

TLS -sertifikater:

Denne artikkelen forklarer HTTP -tier TLS -sertifikater. Transportlag TLS -sertifikatet bruker interiørklæringen blant nodene oppnådd av ECK, og disse skal ikke endres. Vi kan imidlertid definere vår sertifiseringsevne for transportnivået.

Installer OpenSSL:

Det første trinnet er å installere OpenSSL. OpenSSL -verktøyet er vanligvis forhåndsinstallert på Linux -operativsystemet.

Opprett et selvsignert sertifikat:

OpenSSL er et verktøy som brukes til å lage selvsignerte sertifikater og introdusere TLS-krypterte påvirkninger. Følgende OpenSSL -kommando lager et sertifikat og bortgjemt nøkkelpar som kan brukes til å avslutte TLS. Her lager vi en bortgjemt nøkkel og sertifikat. Vi bruker den påfølgende kommandoen for å sjekke legitimiteten til sertifikatet:

Kommandoen nevnt ovenfor bruker det vanlige navnet “Ambassador” for å lage et sertifikat og bortgjemt nøkkel. Deretter er sertifikatet selvsignet, og det brukes bare til testformål, så alle andre etterspurte data kan være blanke:

Vi laster dynamisk TLS -sertifiseringen ved å tolke sertifikatet fra Kubernetes Secret. Bruk Kubectl til å lage en TLS -hemmelighet som inneholder PEM -filen som er dannet ovenfor:

Fortell Ambassador Edge Stack å bruke denne hemmeligheten for TLS -avslutning:

Nå lagres sertifikatet og tilbaketrukket nøkkel i en Kubernetes-hemmelighet kalt TLS-cert. Vi må bruke det sertifikatet for å avslutte TLS for domenet. Verten brukes til å oppdatere sertifikatet som brukes til å avslutte TLS i domenet. I tillegg bygger den den påfølgende verten for å bruke hemmeligheten som er laget ovenfor for å stoppe TLS på alle områder:

Hvis klyngen utfører mange tilfeller, må du huske å involvere Ambassador_id i spesifikasjonen:

Ved å kjøre denne kommandoen, får vi informasjonsavgjørelse, snille, metadata, navn, spesifikasjoner og ambassador_id.

Vi bruker verten konstruert med kubectl. I dette trinnet bruker vi “Kubectl Create -F Host.yaml ”kommando:

Vi organiserte for å overvåke TLS-trafikk på Harbor 8443, og avslutt deretter TLS ved hjelp av det selvsignerte sertifikatet vi dannet.

Få serviceambassadør:

Nå ønsker vi å lede den kodede trafikken avsluttet over HTTPS. Først er vi forsikret om fasiliteten på 443 og avanserer på port 8443. Vi sjekker dette ved hjelp av “Kubectl Get Service Ambassador -o Yaml” -kommandoen:

Når utgangen fra KUBECTL -kommandoen ikke ser ut som eksemplet som er nevnt over, må du lede Ambassador Edge Stack Feenity for å forbedre HTTPS -porten. Deretter validerer du at Ambassador Edge Stack deltar på Port 443, bruk CURL for å direkte kreve backend -fasiliteten.

I mellomtiden bruker vi det selvsignerte sertifikatet. Vi må fikse K -flagget for å slå av vertsnavn -godkjenningen.

Konklusjon:

I denne artikkelen får vi et effektivt sertifikat fra et relevant sertifikatmyndighet. Selvsignerte sertifikater er en enkel og rask metode for å skaffe ambassadørkantstabelen for å avskjedige TLS, men de kan ikke brukes i produksjonssystemene. For å hjelpe HTTPS -trafikk fratatt sikkerhetsforholdsregler, ønsker vi et sertifikat av et godkjent sertifikatmyndighet. Gjennom Ambassador Edge Stack kan vi gjøre dette bare ved å kreve et sertifikat gjennom innebygd vedlikehold. For API Gateway tilbyr vi en enkel metode for å skaffe sertifikater. Vi diskuterte i denne artikkelen hvordan du får informasjonen om ignorerte sertifikater. Ambassador Edge Stack gir en konfigurasjon av mange innovative valg relatert til TLS -avslutning, opprinnelse, brukersertifikatgodkjenning og SNI -støtte. Vi håper du fant denne artikkelen nyttig. Sjekk ut Linux -hint for flere tips og informasjon.