wnt*_*sux 5 ssl nginx kubernetes nginx-ingress mtls
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX 入口来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务,因此强制客户端指定一个证书以便能够与回声服务进行通信。这是一个 POC,所以我使用的是自签名证书。
我需要设置哪些 Kubernetes 组件才能实现这一点?我阅读了 NGINX 文档,但无法理解是否需要在 Kubernetes 集群中创建证书颁发机构/证书管理器并使用它来配置入口服务以执行 mTLS 步骤。我可以在入口处终止 SSL(在执行 mTLS 之后)并允许从入口到回声服务的不安全通道。
我希望有这种设置经验的人可以提供一些指导。
谢谢!
首先,mTLS 和 TLS/SSL 终止并不完全相同。mTLS 是相互身份验证, 这意味着客户端对服务器进行身份验证,服务器对客户端进行身份验证。
通常,SSL 终止负责服务器对客户端的身份验证,但需要客户端支持服务器才能对客户端进行身份验证。
此外,证书颁发机构和我相信您所指的证书管理器是两个不同的东西。
对于 Kubernetes,您可以使用Nginx 等入口控制器在入口上设置TLS/SSL 终止。您可以完全使用具有您自己的证书颁发机构的自签名证书。唯一的问题是除非将 CA(证书颁发机构)添加为受信任的实体,否则您的请求将不会被验证,而是您的客户端/浏览器。
现在,对于 mTLS,您不必关心是否使用完全相同的 CA、Cert 和 Key 来验证两种方式。但是,您必须强制您的入口对客户端进行身份验证,并且使用 Nginx 入口控制器,您可以使用以下注释来做到这一点:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/mycerts"
您将在 K8s 中使用以下内容创建上述机密:
kubectl create secret generic mycerts --from-file=tls.crt=server.crt --from-file=tls.key=server.key --from-file=ca.crt=ca.crt
此博客中的更多详细信息。
注意:像Istio、Linkerd和Consul 之类的服务网格支持在您的服务之间开箱即用的 mTLS。
??
| 归档时间: |
|
| 查看次数: |
3618 次 |
| 最近记录: |