Certyfikat Kubectl ignoruj

Szyfrowanie TLS jest niezbędnym wymogiem bezpiecznego systemu. Ten system spontanicznie obsługuje zakończenie TLS/HTTP. Upraszcza to szyfrowanie TLS i centralizuje zakończenie TLS dla każdego zasobu w Kubernetes. To instynktowne zarządzanie certyfikatem jest przydatne do prostych konfiguracji TLS w klastrze. Jednak przedstawiciele typu open source uzyskują dostęp do wymagań dostarczonych przez certyfikat w celu aktywacji TLS. W tym artykule opisujemy procedurę wspomagania TLS za pomocą certyfikatu utworzonego za pomocą usługi OpenSSL.

Wymagania wstępne:

Aby uruchomić polecenia w Kubernetes, musimy zainstalować Ubuntu 20.04. Tutaj używamy systemu operacyjnego Linux do wykonywania poleceń Kubectl. Teraz instalujemy klaster minikube, aby uruchomić Kubernetes w Linux. MiniKube oferuje wyjątkowo sprawne zrozumienie, ponieważ zapewnia wydajny tryb do testowania poleceń i aplikacji. W tym artykule omówimy certyfikat Kubectl ignor.

Metody ignorowania certyfikatu:

Aby Kubectl Ignoruje certyfikat, musimy rozpocząć minikube:

Rozpocznij minikube:

Po zainstalowaniu klastra minikube musimy uruchomić Ubuntu 20.04. Najpierw musimy otworzyć terminal do uruchamiania poleceń. W tym celu całkowicie naciskamy „ctrl+alt+t” na klawiaturze.

W terminalu piszemy polecenie „Rozpocznij minikube”, a po tym czekamy na to, że zaczął się skutecznie. Wyjście tego polecenia znajduje się poniżej:

Ten proces jest czasochłonny i będziemy czekać na wydajne wykonanie procedury.

Certyfikaty TLS:

W tym artykule wyjaśniono certyfikaty TLS poziomu HTTP. Certyfikat warstwy transportowej TLS wykorzystuje instrukcję wnętrza wśród węzłów wykonanych przez ECK, i nie należy je modyfikować. Możemy jednak zdefiniować naszą zdolność certyfikacji poziomu transportu.

Zainstaluj OpenSSL:

Pierwszym krokiem jest zainstalowanie OpenSSL. Narzędzie OpenSSL jest zwykle wstępnie zainstalowane w systemie operacyjnym Linux.

Utwórz samowystarczalny certyfikat:

OpenSSL to narzędzie używane do tworzenia samowystarczalnych certyfikatów i wprowadzania zaszyfrowanych wpływów TLS. Poniższe polecenie OpenSSL stanowi certyfikat i zaciszną parę kluczy, które można użyć do zakończenia TLS. Tutaj tworzymy zaciszny klucz i certyfikat. Korzystamy z kolejnych polecenia, aby sprawdzić legitymację certyfikatu:

Polecenie wspomniane powyżej używa nazwy zwyczajowej „ambasador”, aby stworzyć certyfikat i odosobniony klucz. Następnie certyfikat jest podpisany i jest wykorzystywany wyłącznie do celów testowych, więc wszelkie inne żądane dane mogą być puste:

Dynamicznie ładujemy certyfikat TLS, interpretując certyfikat od tajności Kubernetes. Użyj kubectl, aby wykonać sekret TLS zawierający plik PEM utworzony powyżej:

Powiedz ambasadora Edge Stack, aby użył tego sekretu do zakończenia TLS:

Teraz certyfikat i zaciszny klucz są przechowywane w sekret Kubernetes o nazwie TLS-CERT. Musimy wykorzystać ten certyfikat do rozwiązania TLS dla domeny. Host jest wykorzystywany do aktualizacji certyfikatu używanego do zakończenia TLS w domenie. Ponadto buduje kolejnego gospodarza, aby wykorzystać powyższy sekret, aby zatrzymać TLS na wszystkich obszarach:

Jeśli klaster wykonuje wiele instancji, pamiętaj o zaangażowaniu ambasadora_danego w specyfikacji:

Uruchamiając to polecenie, otrzymujemy informację informacyjną, mianem, metadaną, nazwą, specyfikacją i ambasadorem.

Stosujemy host skonstruowany za pomocą kubectl. W tym etapie używamy „Kubectl Create -F Host.Polecenie YAML ”:

Zorganizowaliśmy, aby monitorować ruch TLS na Harbour 8443, a następnie zakończyć TLS za pomocą utworzonego samego podpisanego certyfikatu.

Zdobądź ambasador usług:

Teraz chcemy kierować zakodowany ruch zakończony przez HTTPS. Najpierw zapewniamy udogodnienie na 443 i awans na porcie 8443. Sprawdzamy to za pomocą polecenia „Kubectl Get Service Ambassador -O YAML”:

Gdy wyjście z polecenia Kubectl nie wygląda jak wspomniany powyżej przykład, kieruj wyposażenie krawędzi ambasadora, aby ulepszyć port HTTPS. Następnie zatwierdza, że ​​stos ambasadorów uczęszcza do portu 443, użyj Curl, aby skierować zapotrzebowanie na zaplecza.

Tymczasem wykorzystujemy samowystarczalny certyfikat. Musimy naprawić flagę K, aby wyłączyć uwierzytelnianie nazwy hosta.

Wniosek:

W tym artykule uzyskujemy skuteczny certyfikat od odpowiedniego organu certyfikatu. Self-podpisane certyfikaty są łatwą i szybką metodą nabycia stosu ambasadora Edge w celu odrzucenia TLS, ale nie można ich wykorzystać w systemach produkcyjnych. Aby pomóc HTTPS pozbawiony środków bezpieczeństwa, chcemy certyfikatu przez zatwierdzonego organu certyfikacyjnego. Za pośrednictwem stosu krawędzi ambasadora możemy to zrobić jedynie, domagając się certyfikatu poprzez wbudowaną konserwację. W przypadku bramy API oferujemy łatwą metodę pozyskiwania certyfikatów. W tym artykule omówiliśmy, jak uzyskać informacje o ignorowanych certyfikatach. Stack Ambassador Edge zapewnia konfigurację licznych innowacyjnych wyborów związanych z rozwiązaniem TLS, pochodzeniem, uwierzytelnianiem certyfikatów użytkownika i obsługi SNI. Mamy nadzieję, że ten artykuł jest pomocny. Sprawdź Linux Wskazówka, aby uzyskać więcej wskazówek i informacji.