Kubectl Ignorieren Sie das Zertifikat

Die TLS -Verschlüsselung ist eine wesentliche Voraussetzung für ein sicheres System. Dieses System unterstützt spontan die TLS -Terminierung/HTTP. Dies vereinfacht die TLS -Verschlüsselung und zentralisiert die TLS -Beendigung für jede Ressource in Kubernetes. Diese instinktive Zertifikatverwaltung ist für einfache TLS -Konfigurationen in einem Cluster nützlich. Open-Source-Vertreter zugreifen jedoch auf die vom Zertifikat bereitgestellten Anforderungen, um TLS zu aktivieren. In diesem Artikel beschreiben wir das Verfahren der Unterstützung von TLs mithilfe eines Zertifikats, das mithilfe des OpenSSL -Dienstes gebildet wurde.

Voraussetzungen:

Um die Befehle in Kubernetes auszuführen, müssen wir Ubuntu 20 installieren.04. Hier verwenden wir das Linux -Betriebssystem, um die Kubectl -Befehle auszuführen. Jetzt installieren wir den Minikube -Cluster, um Kubernetes unter Linux auszuführen. Minikube bietet ein äußerst reibungsloses Verständnis, da es einen effizienten Modus zum Testen der Befehle und Anwendungen bietet. In diesem Artikel werden wir das kubectl ignorieren Zertifikat diskutieren.

Methoden zum ignorierten Zertifikat:

Um das Zertifikat zu kubectl ignorieren, müssen wir die Minikube starten:

Starten Sie Minikube:

Nach der Installation des Minikube -Clusters müssen wir Ubuntu 20 starten.04. Zunächst müssen wir ein Terminal öffnen, um die Befehle auszuführen. Zu diesem Zweck drücken wir insgesamt „Strg+Alt+T“ auf der Tastatur.

Im Terminal schreiben wir den Befehl „Start Minikube“ und danach wartet wir in Unitl effektiv begonnen. Die Ausgabe dieses Befehls wird unten angegeben:

Dieser Prozess ist zeitaufwändig und wir werden es kaum erwarten, die Prozedur effizient auszuführen.

TLS -Zertifikate:

Dieser Artikel erläutert die HTTP -Tier -TLS -Zertifikate. Das TLS -Zertifikat der Transportschicht verwendet die Innenausstattung unter den von Eck erreichten Knoten, und diese sind nicht zu modifizieren. Wir können jedoch unsere Zertifizierungsfähigkeit für die Transportebene definieren.

OpenSSL installieren:

Der erste Schritt ist die Installation von OpenSSL. Das OpenSSL -Tool ist normalerweise auf dem Linux -Betriebssystem vorinstalliert.

Erstellen Sie ein selbstsigniertes Zertifikat:

OpenSSL ist ein Tool, das zum Erstellen selbstsignierter Zertifikate und zur Einführung von TLS-Verschlüsselungseinflüssen verwendet wird. Der folgende OpenSSL -Befehl enthält ein Zertifikat und ein abgelegenes Schlüsselpaar, mit dem TLS beendet werden kann. Hier machen wir einen abgelegenen Schlüssel und Zertifikat. Wir verwenden den Nachfolgerbefehl, um die Legitimität des Zertifikats zu überprüfen:

Der oben erwähnte Befehl verwendet den gebräuchlichen Namen „Botschafter“, um ein Zertifikat und ein abgelegener Schlüssel zu erstellen. Anschließend ist das Zertifikat selbst signiert und wird nur für Testzwecke verwendet, sodass alle anderen angeforderten Daten leer sind:

Wir laden die TLS -Zertifizierung dynamisch, indem wir das Zertifikat als des Kubernetes -Geheimnisses interpretieren. Verwenden Sie die Kubectl, um ein TLS -Geheimnis zu machen, das die oben gebildete PEM -Datei enthält:

Sagen Sie Botschafter Edge Stack, dieses Geheimnis für die TLS -Kündigung zu verwenden:

Jetzt werden das Zertifikat und der abgelegene Schlüssel in einem Kubernetes-Geheimnis namens TLS-Cert gespeichert. Wir müssen dieses Zertifikat verwenden, um TLS für die Domäne zu beenden. Der Host wird verwendet, um das Zertifikat zu aktualisieren, das zur Beendigung von TLS in der Domäne verwendet wird. Außerdem baut es den nachfolgenden Host auf, um das oben hergestellte Geheimnis zu verwenden, um TLS in allen Bereichen zu stoppen:

Wenn der Cluster zahlreiche Instanzen ausführt, nehmen Sie unbedingt den Botschafter in die Spezifikation ein:

Wenn wir diesen Befehl ausführen, erhalten wir die Informationsapiversion, die Art, die Metadaten, die Namen, die Spezifikation und Botschafter.

Wir wenden den mit Kubectl konstruierten Wirt an. In diesem Schritt verwenden wir „Kubectl Create -f -Host.yaml ”Befehl:

Wir haben uns organisiert, um den TLS-Verkehr auf dem Hafen 8443 zu überwachen und dann TLS mit Hilfe des von uns gebildeten selbstsignierten Zertifikats zu beenden.

Holen Sie sich Service Ambassador:

Jetzt möchten wir den codierten Verkehr leiten, der über HTTPS gekündigt wurde. Zunächst versichert wir die Ausstattung auf 443 und treten in Port 8443 voran. Wir überprüfen dies mit Hilfe des Befehls „Kubectl Get Service Ambassador -o yaml“:

Wenn die Ausgabe aus dem Befehl kubectl nicht wie das oben erwähnte Beispiel aussieht, leiten Sie die Annehmlichkeit des Botschafters Edge Stack, um den HTTPS -Anschluss zu verbessern. Anschließend validiert, dass der Botschafter -Edge -Stack an Port 443 teilnimmt, verwenden Sie Curl, um die Backend -Annehmlichkeit zu lenken.

In der Zwischenzeit verwenden wir das selbstsignierte Zertifikat. Wir müssen das K -Flag reparieren, um die Hostname -Authentifizierung auszuschalten.

Abschluss:

In diesem Artikel erhalten wir ein wirksames Zertifikat von einer relevanten Zertifikatsbehörde. Selbstsignierte Zertifikate sind eine einfache und schnelle Methode, um den Botschafter-Edge-Stack zu erwerben, um TLS zu entlassen, aber sie können jedoch nicht in den Fertigungssystemen verwendet werden. Um den HTTPS -Verkehr zu unterstützen, das Sicherheitsvorkehrungen entzogen wurden, möchten wir ein Zertifikat durch eine zugelassene Zertifikatbehörde. Durch den Botschafter-Edge-Stack können wir dies lediglich tun, indem wir durch die integrierte Wartung ein Zertifikat fordern. Für das API -Gateway bieten wir eine einfache Methode, um Zertifikate zu erwerben. Wir haben in diesem Artikel besprochen, wie Sie die Informationen zu ignorierten Zertifikaten erhalten. Der Botschafter -Edge -Stack bietet eine Konfiguration zahlreicher innovativer Auswahlen im Zusammenhang mit TLS -Beendigung, Herkunft, Benutzerzertifikatauthentifizierung und SNI -Unterstützung. Wir hoffen, Sie haben diesen Artikel hilfreich gefunden. Weitere Tipps und Informationen finden Sie unter Linux Tipp.