SSL certifikáty sa používajú na zabezpečenie aplikácie, ktorá je vytvorená na Kubernetes pre budúcu bezpečnosť. Zoberme si ďalší bezpečný certifikát, TLS, ktorý obsahuje veľmi bezpečný súkromný kľúč. Certifikáty sa vytvárajú pomocou certifikátov: K8r.io API. O konfigurácii SSL certifikátu sa naučíme pomocou podrobných príkladov. Začnime certifikátom SSL v Kubernetes. SSL certifikáty sú pre prehliadače veľmi dôležité. Prehliadač pomocou SSL a TLS certifikátov vytvára zabezpečené spojenie so službami Kubernetes.
Predpoklady:
Každý používateľ musí mať najnovšiu verziu svojho systému Ubuntu. Používateľ operačného systému Windows si nainštaluje virtuálny box a virtuálne do systému pridá Ubuntu alebo Linux. Používatelia musia byť oboznámení s Kubernetes, príkazovým riadkom kubectl, modulmi a klastrami a musia poznať klastrové DNS, aby lepšie porozumeli tejto téme.
Pozrime sa stručne na konfiguráciu certifikátu SSL v Kubernetes rozdelením celého postupu na rôzne kroky.
Krok 1: Spustite ovládací panel Kubernetes
V našej aplikácii chceme prostredie, v ktorom môžeme spúšťať príkazy Kubernetes na vykonávanie úloh Kubernetes. Výsledkom je, že Kubernetes nám poskytuje lokálny kontajner s názvom „minikube“. Pri každom spustení aplikácie Kubernetes spustíme minikube v Kubernetes, čo je v podstate terminál, ktorý je potrebný na spustenie príkazov Kubernetes. V tomto kroku spustíme príkaz na inicializáciu Minikube, čo je:
> spustiť minikube
Keď spustíme tento príkaz na našom systémovom termináli, vykonanie príkazu sa spustí stlačením tlačidla enter. Príkaz nám na oplátku zobrazí nižšie priložený výsledok snímky obrazovky.
Krok 2: Vygenerujte žiadosť o podpis certifikátu
Po vytvorení klastra pomocou Minikube teraz chceme vytvoriť žiadosť o podpis certifikátu. Výmenou za túto akciu spustíme príkaz na podpísanie žiadosti o certifikát a vygenerovanie súkromného kľúča.
> kat << EOF | cfssl genkey - | cfssljson -len server
Po vykonaní dotazu je požiadavka úspešne vygenerovaná pomocou súkromného kľúča. Výsledok je priložený vyššie ako snímka obrazovky.
Krok 3: Vytvorte manifest žiadosti o podpis certifikátu v súbore YAML
V tomto kroku vytvoríme manifest súboru YAML na vytvorenie CSR v Kubernetes. Spustíme príkaz nižšie:
> kat << EOF | kubectl aplikovať -f –Po vykonaní tohto príkazu sa úspešne vytvorí súbor YAML. A pošleme ho na server API, ako je znázornené na priloženej snímke obrazovky.
Krok 4: Získajte stav žiadosti o podpis certifikátu
V tomto kroku sa pozrieme na stav CSR tak, ako ho vidíme cez API. Môžeme spustiť daný príkaz na získanie stavu žiadosti o certifikát.
> kubectl popísať csv my-svc.my-namespace 
Po spustení príkazu sa na výstupe zobrazí stav CSR, ako je znázornené na priloženej snímke obrazovky. Stav CSR je „čaká“ a tento stav pochádza z API. Názov súboru je my-svc. môj-namespace a anotácie, žiadajúci používateľ a predmet, alternatívne mená subjektu s DNS názvami a IP adresami, udalosti atď. sú zahrnuté v popise CSR. Stav je „čaká“, čo znamená, že certifikát CSR ešte nebol schválený.
Krok 5: Schválenie certifikátov CSR
Stav certifikátu CSR stále čaká na spracovanie. Takže v tomto prípade pošleme dotaz do Kubernetes API na schválenie CSR certifikátu. Tento príkaz spustíme na schválenie:
> kubectl certifikát schvaľuje môj-svc .my-namespacePríkaz po vykonaní zobrazí výstup. Certifikát CSR schvaľuje oprávnená osoba, napríklad administratíva Kubernetes. Keďže sme autorizovaní používatelia, vytvárame súbory YAML. V dôsledku toho sa certifikát CSR ľahko schvaľuje pomocou príkazu, ako je to znázornené na obrázku nižšie na objasnenie.
my-svc.my-namespace je úspešne schválený cez certificates.k8s.io API.
Krok 6: Získajte certifikát CSR v Kubernetes
Teraz čakáme na to, či bol certifikát CSR schválený. Spustíme teda príkaz, aby sme získali zoznam všetkých CSR certifikátov, ktoré sú momentálne aktívne v systéme. Spustite príkaz:
> kubectl získať csr 
Názov schváleného certifikátu CSR v Kubernetes je zobrazený na priloženej snímke obrazovky. Tento príkaz vráti meno, vek, meno podpisovateľa, žiadateľa, požadované trvanie a stav certifikátu CSR.
Krok 7: Podpíšte certifikát vytvorením autority
V tomto kroku uvidíme, ako sa podpisujú certifikáty v Kubernetes. SSL certifikát je schválený, ale ešte nie je podpísaný. Meno podpisovateľa sa zobrazuje na certifikáte v Kubernetes. Spustíme príkaz, cez ktorý požadovaný podpisovateľ podpisuje certifikát. Príkaz je:
> kat << EOF | cfssl genart -initca - | cfssljson – holé cca{
'CN' : 'Môj vzorový signatár' ,
'kľúč' : {
'niečo' : 'rsa' ,
'veľkosť' : 2048
}
}
EOF
Spustí sa príkaz na digitálne podpísanie certifikátu. Signatár podpíše požadované certifikáty a aktualizuje stav API pomocou príkazu „SSL certifikát“. Spustením vyššie uvedeného príkazu sme vytvorili podpisový certifikát a výsledok je zobrazený na priloženej snímke obrazovky. Na podpísanie certifikátu bolo úspešne použité jedinečné sériové číslo.
Krok 8: Vytvorte súbor JSON na vydanie certifikátu
Po podpísaní certifikátu vytvoríme JSON súbor, z ktorého vystavíme certifikát. Vytvoríme súbor JSON spustením nasledujúceho príkazu s priloženou snímkou obrazovky:
> nano signingfile.jsonPo vykonaní príkazu sa vytvorí súbor JSON, ako je možné vidieť na obrázku nižšie.
Krok 9: Použite Server-Signing-config.json
V tomto kroku používame na podpísanie a vydanie certifikátov súbor server-signing-config, ktorý je v JSON. Spustíme príkaz na podpis certifikátu pomocou súboru súkromného kľúča.
> kubectl získa csr my-svc.my-namespace - jsonpath =' { .spec.žiadosť } ' | \ základ64 --dekódovať | \ znak cfssl -to ca.pem -ca ca-kľúč ca-kľúč.pem -config server-signing-config.json | \ cfssljson -len ca-signed-server 
Po tomto príkaze sa podpíše certifikát, ktorý je už definovaný v súbore json. Vygeneruje sa sériové číslo tohto CSR. Tu vygenerujeme podpísaný súbor certifikátu poskytovania s názvom „ca-signed-server.pem“.
Krok 10: Nahranie podpísaného certifikátu do objektu API
V tomto kroku nahráme podpísaný certifikát do čakajúceho stavu API, ktorý sme videli vyššie. Príkaz na nahrávanie je:
> kubectl získa csr my-svc.my-namespace - json | \ jq '.status.certificate = '' $ ( base64 ca-signed-server.pem | tr -d '\n' ) ''' | \
> kubectl nahradiť --surové / apis / certifikáty.k8s.io / v1 / žiadosti o podpis certifikátov / my-svc.my- menný priestor / postavenie -f -
Po vykonaní tohto príkazu sa podpísaný certifikát úspešne nahrá vždy, keď sa schváli CSR. Snímka obrazovky pripojená vyššie nám ukazuje formát JSON, ktorý nahráva podpísaný certifikát ako objekty API.
Krok 11: Zaregistrujte schválené certifikáty v Kubernetes
Opäť spustíme príkaz na zobrazenie schválených certifikátov v Kubernetes.
> kubectl získať csr 
Certifikát bol schválený a úspešne vydaný, ako je znázornené na obrázku vyššie.
Krok 12: Uložte certifikát do systému
V tomto kroku sa naučíme, ako stiahnuť podpísaný certifikát a úspešne ho použiť v našom systéme. Certifikát jednoducho nasadíme na server. Príkaz je:
> kubectl získa csr my-svc.my-namespace - jsonpath = '{.status.certificate}' \| základ 64 --dekódovať > server.crt
Krok 13: Vyplňte certifikát
V tomto kroku sa naučíme, ako naplniť certifikát na serveri, aby sme ho mohli jednoducho použiť na zabezpečenie webu. Spustíme príkaz:
Kalsoom @ Kalsoom > kubectl vytvoriť tajný tls server --certifikát server.crt --kľúč server-key.pem 
Vyššie priložená snímka obrazovky nám ukazuje, že zabezpečený alebo tajný server TLS bol úspešne vytvorený s názvom cert server.cr a so súkromným kľúčom server-key.pem.
Krok 14: Config Map the Certificate
V tomto kroku nakonfigurujeme certifikát, aby sme zaistili, že ide o certifikát bezpečného poskytovania, spustením príkazu nižšie:
> kubectl vytvorte konfiguračnú mapu example-serving-ca --zo-suboru ca.crt=ca.pem 
Ako je znázornené na priloženej snímke obrazovky, konfiguračná mapa/example-serving-ca je úspešne vytvorená v Kubernetes pre zabezpečené pripojenie na webovom serveri.
Záver
Certifikáty SSL sa používajú na zabezpečenie zabezpečenia aplikácií Kubernetes na webovom serveri. Pre vaše pochopenie sme podrobne vysvetlili každý krok. Rovnaké príkazy môžete spustiť aj vo svojej aplikácii Kubernetes a nainštalovať certifikát SSL.