Certificatele SSL sunt folosite pentru a securiza aplicația care este realizată pe Kubernetes pentru siguranța viitoare. Să luăm un alt certificat securizat, TLS, care conține o cheie privată foarte sigură. Certificatele sunt create cu certificate: API-ul K8r.io. Vom învăța despre configurarea certificatului SSL cu ajutorul unor exemple detaliate. Să începem cu certificatul SSL în Kubernetes. Certificatele SSL sunt foarte importante pentru browsere. Browserul, cu ajutorul certificatelor SSL și TLS, creează o conexiune sigură cu serviciile Kubernetes.
Cerințe preliminare:
Fiecare utilizator trebuie să aibă cea mai recentă versiune Ubuntu a sistemului său. Utilizatorul sistemului de operare Windows instalează o cutie virtuală și adaugă Ubuntu sau Linux virtual în sistem. Utilizatorii trebuie să fie familiarizați cu Kubernetes, linia de comandă kubectl, pod-urile și clusterele și să cunoască DNS-ul clusterului pentru a înțelege mai bine acest subiect.
Să aruncăm o scurtă privire asupra configurației certificatului SSL în Kubernetes, împărțind întreaga procedură în diferiți pași.
Pasul 1: Porniți Panoul de control Kubernetes
Dorim un mediu în aplicația noastră în care să putem rula comenzi Kubernetes pentru a efectua sarcini Kubernetes. Drept urmare, Kubernetes ne oferă un container local numit „minikube”. La fiecare pornire a aplicației Kubernetes, vom porni un minikube în Kubernetes, care este practic un terminal, care este necesar pentru rularea comenzilor Kubernetes. În acest pas, rulăm comanda pentru a inițializa Minikube, care este:
> porniți minikube
Când rulăm această comandă pe terminalul nostru de sistem, execuția comenzii începe prin apăsarea butonului enter. Comanda ne arată un rezultat al capturii de ecran atașat mai jos.
Pasul 2: Generați cererea de semnare a certificatului
După ce am creat un cluster utilizând Minikube, acum dorim să creăm o cerere de semnare a certificatului. În schimbul acestei acțiuni, rulăm comanda pentru semnarea cererii de certificat și generarea unei chei private.
> pisică << EOF | cfssl genkey - | cfssljson -doar Server
După executarea interogării, cererea este generată cu succes cu cheia privată. Rezultatul este atașat mai sus ca o captură de ecran.
Pasul 3: creați un manifest de solicitare de semnare a certificatului în fișierul YAML
În acest pas, vom crea un manifest de fișier YAML pentru crearea unui CSR în Kubernetes. Executăm comanda de mai jos:
> pisică << EOF | se aplică kubectl -f –În urma executării acestei comenzi, un fișier YAML este creat cu succes. Și îl trimitem la serverul API, așa cum se arată în captura de ecran atașată.
Pasul 4: Obțineți starea solicitării de semnare a certificatului
În acest pas, ne vom uita la starea CSR așa cum este văzută prin API. Putem rula comanda dată pentru a prelua starea cererii de certificat.
> kubectl descrie csv my-svc.my-namespace 
Când comanda este executată, starea CSR este afișată în ieșire, așa cum se arată în captura de ecran atașată. Starea CSR este „în așteptare”, iar această stare provine din API. Numele fișierului este my-svc. my-namespace și adnotări, utilizator și subiect solicitant, nume alternative de subiect având nume DNS și adrese IP, evenimente etc. sunt incluse în descrierea CSR. Starea este „în așteptare”, ceea ce înseamnă că certificatul CSR nu a fost încă aprobat.
Pasul 5: Aprobarea certificatelor CSR
Statutul certificatului CSR este încă în așteptare. Deci, în acest caz, vom trimite o interogare către API-ul Kubernetes pentru a aproba certificatul CSR. Executăm această comandă pentru aprobare:
> certificatul kubectl aprobă my-svc .my-namespaceComanda arată rezultatul după execuție. O persoană autorizată, cum ar fi administrația Kubernetes, aprobă certificatul CSR. Deoarece suntem utilizatori autorizați, creăm fișiere YAML. Drept urmare, certificatul CSR este ușor aprobat folosind comanda, așa cum se arată în captura de ecran de mai jos pentru clarificare.
my-svc.my-namespace este aprobat cu succes prin API-ul certificates.k8s.io.
Pasul 6: Preluați certificatul CSR în Kubernetes
Așteptăm acum să vedem dacă certificatul CSR a fost aprobat. Deci, vom rula comanda pentru a obține o listă a tuturor certificatelor CSR care sunt active în prezent în sistem. Rulați comanda:
> kubectl obține csr 
Numele certificatului CSR aprobat în Kubernetes este afișat în captura de ecran atașată. Această comandă returnează numele, vârsta, numele semnatarului, solicitantul, durata solicitată și starea certificatului CSR.
Pasul 7: Semnați certificatul prin crearea de autoritate
În acest pas, vom vedea cum sunt semnate certificatele în Kubernetes. Certificatul SSL este aprobat, dar nu este încă semnat. Numele semnatarului apare pe certificat în Kubernetes. Rulam comanda prin care semnatarul solicitat semneaza certificatul. Comanda este:
> pisică << EOF | cfssl genart -initca - | cfssljson – bare ca{
'CN' : „Exemplul meu de semnatar” ,
'cheie' : {
'ceva' : 'rsa' ,
'mărimea' : 2048
}
}
EOF
Comanda este rulată pentru a semna certificatul digital. Semnatarul semnează certificatele solicitate și actualizează starea API cu comanda „Certificat SSL”. Am creat un certificat de semnare rulând comanda de mai sus și rezultatul este afișat în captura de ecran atașată. Un număr de serie unic a fost utilizat cu succes pentru a semna certificatul.
Pasul 8: Creați un fișier JSON pentru a emite un certificat
După semnarea certificatului, creăm un fișier JSON din care emitem un certificat. Vom crea un fișier JSON rulând următoarea comandă cu captura de ecran atașată:
> nano signingfile.jsonDupă ce comanda este executată, fișierul JSON este creat, așa cum poate fi vizualizat în captura de ecran de mai jos.
Pasul 9: Utilizați Server-Signing-config.json
În acest pas, folosim fișierul server-signing-config care este în JSON pentru a semna și a emite certificatele. Rulăm comanda pentru semnarea certificatului cu un fișier cu cheie privată.
> kubectl obține csr my-svc.my-namespace -The jsonpath =' { .spec.cerere } ’ | \ baza64 --decodare | \ cfssl semn -ca ca.pem -ca ca-key ca-key.pem -config server-signing-config.json | \ cfssljson -doar ca-signed-server 
După această comandă, certificatul care este deja definit în fișierul json este semnat. Numărul de serie al acestui CSR este generat. Aici, generăm un fișier de certificat de servire semnat, numit „ca-signed-server.pem”.
Pasul 10: Încărcarea certificatului semnat în obiectul API
În acest pas, încărcăm certificatul semnat în starea API în așteptare pe care am văzut-o mai sus. Comanda pentru încărcare este:
> kubectl obține csr my-svc.my-namespace -The json | \ jq '.status.certificate = '' $ ( base64 ca-signed-server.pem | tr -d '\n' ) ''' | \
> kubectl înlocuiți --brut / apis / certificate.k8s.io / v1 / Cereri de semnare de certificate / my-svc.my- namespace / stare -f -
Când această comandă este executată, certificatul semnat este încărcat cu succes ori de câte ori CSR este aprobat. Captura de ecran atașată mai sus ne arată un format JSON care încarcă certificatul semnat ca obiecte API.
Pasul 11: înscrieți certificate aprobate în Kubernetes
Rulăm din nou comanda pentru a afișa certificatele aprobate în Kubernetes.
> kubectl obține csr 
Certificatul a fost aprobat și emis cu succes, așa cum se arată în captura de ecran de mai sus.
Pasul 12: Salvați certificatul în sistem
În acest pas, vom învăța cum să descărcam certificatul semnat și să îl folosim cu succes în sistemul nostru. Implementăm cu ușurință certificatul pe server. Comanda este:
> kubectl obține csr my-svc.my-namespace -The jsonpath = „{.status.certificate}” \| baza64 --decodare > server.crt
Pasul 13: Completați certificatul
În acest pas, vom învăța cum să populăm certificatul pe server, astfel încât să putem utiliza cu ușurință certificatul pentru securitatea web. Rulam comanda:
Kalsoom @ Kalsoom > kubectl crea server secret tls --cert server.crt --cheie server-key.pem 
Captura de ecran atașată mai sus ne arată că serverul securizat sau secret TLS este creat cu succes cu numele cert server.cr și având cheie privată server-key.pem.
Pasul 14: Configurați maparea certificatului
În acest pas, vom configura certificatul pentru a ne asigura că este un certificat de servire securizat, rulând comanda de mai jos:
> kubectl crea configmap example-serving-ca --din fisier ca.crt=ca.pem 
După cum se arată în captura de ecran atașată, harta de configurare/example-serving-ca este creată cu succes în Kubernetes pentru o conexiune sigură pe serverul web.
Concluzie
Certificatele SSL sunt folosite pentru a oferi securitate aplicațiilor Kubernetes de pe serverul web. Am explicat fiecare pas în detaliu pentru înțelegerea dvs. De asemenea, puteți rula aceleași comenzi în aplicația dvs. Kubernetes pentru a instala certificatul SSL.