Kubectl Ignore Certificat

Le chiffrement TLS est une exigence essentielle d'un système sécurisé. Ce système prend en charge spontanément la terminaison TLS / HTTP. Cela simplifie le cryptage TLS et centralise la terminaison TLS pour chaque ressource à Kubernetes. Cette gestion de certificat instinctive est utile pour des configurations TLS simples dans un cluster. Cependant, les représentants open-source accèdent aux exigences fournies par le certificat pour activer TLS. Dans cet article, nous décrivons la procédure d'assistance TLS à l'aide d'un certificat formé à l'aide du service OpenSSL.

Conditions préalables:

Pour exécuter les commandes à Kubernetes, nous devons installer Ubuntu 20.04. Ici, nous utilisons le système d'exploitation Linux pour exécuter les commandes Kubectl. Maintenant, nous installons le cluster Minikube pour exécuter Kubernetes dans Linux. Minikube offre une compréhension extrêmement fluide car elle fournit un mode efficace pour tester les commandes et les applications. Dans cet article, nous allons discuter du certificat Kubectl Ignore.

Méthodes pour ignorer le certificat:

Pour Kubectl Ignore Certificate, nous devons démarrer le minikube:

Commencez Minikube:

Après avoir installé le cluster Minikube, nous devons démarrer Ubuntu 20.04. Tout d'abord, nous devons ouvrir un terminal pour exécuter les commandes. À cette fin, nous appuyons complètement sur «Ctrl + Alt + T» sur le clavier.

Dans le terminal, nous écrivons la commande «Démarrer Minikube», et après cela, nous attendons que l'unité a commencé efficacement. La sortie de cette commande est fournie ci-dessous:

Ce processus prend du temps, et nous attendrons d'exécuter efficacement la procédure.

Certificats TLS:

Cet article explique les certificats HTTP Tier TLS. Le certificat TLS de couche de transport utilise l'instruction intérieure entre les nœuds accomplis par ECK, et ceux-ci ne doivent pas être modifiés. Cependant, nous pouvons définir notre capacité de certification pour le niveau de transport.

Installer OpenSSL:

La première étape consiste à installer OpenSSL. L'outil OpenSSL est généralement préinstallé sur le système d'exploitation Linux.

Créez un certificat auto-signé:

OpenSSL est un outil utilisé pour créer des certificats auto-signés et introduire des influences cryptées TLS. La commande OpenSSL suivante fabrique un certificat et une paire de clés isolée qui peut être utilisée pour résilier TLS. Ici, nous faisons une clé et un certificat isolés. Nous utilisons la commande suivante pour vérifier la légitimité du certificat:

La commande mentionnée ci-dessus utilise le nom commun «Ambassador» pour établir un certificat et une clé isolée. Ensuite, le certificat est auto-signé, et il est utilisé à des fins de test uniquement, de sorte que toutes les autres données demandées peuvent être vides:

Nous chargeons dynamiquement la certification TLS en interprétant le certificat comme du secret de Kubernetes. Utilisez le kubectl pour faire un secret TLS contenant le fichier PEM formé ci-dessus:

Dites à la pile Edge Ambassador d'utiliser ce secret pour la terminaison TLS:

Maintenant, le certificat et la clé isolée sont stockés dans un secret de Kubernetes appelé TLS-CERT. Nous devons utiliser ce certificat pour résilier TLS pour le domaine. L'hôte est utilisé pour mettre à jour le certificat utilisé pour résilier TLS dans le domaine. De plus, il construit l'hôte suivant pour utiliser le secret réalisé ci-dessus pour arrêter TLS sur tous les domaines:

Si le cluster exécute de nombreuses instances, assurez-vous d'impliquer l'ambassador_id dans la spécification:

En exécutant cette commande, nous obtenons l'apiversion, le genre, les métadonnées, le nom, les spécifications et l'ambassador_id.

Nous appliquons l'hôte construit avec kubectl. Dans cette étape, nous utilisons «Kubectl Create -f Host.Commande yaml ”:

Nous nous sommes organisés pour surveiller le trafic TLS sur le port 8443, puis terminer TLS à l'aide du certificat auto-signé que nous avons formé.

Obtenez l'ambassadeur du service:

Maintenant, nous voulons diriger le trafic codé terminé HTTPS. Tout d'abord, nous sommes assurés de l'agrément 443 et avançant sur le port 8443. Nous vérifions cela à l'aide de la commande «Kubectl Get Get Ambassador -O YAML»:

Lorsque la sortie de la commande kubectl ne ressemble pas à l'exemple mentionné ci-dessus, dirigez l'administration de la pile de bord d'ambassadeur pour améliorer le port HTTPS. Validant par la suite que la pile de bord de l'ambassadeur assiste au port 443, utilisez Curl pour exiger directement l'agrément du backend.

En attendant, nous utilisons le certificat auto-signé. Nous devons réparer l'indicateur K pour désactiver l'authentification du nom d'hôte.

Conclusion:

Dans cet article, nous obtenons un certificat efficace auprès d'une autorité de certificat pertinente. Les certificats auto-signés sont une méthode facile et rapide pour acquérir la pile de bord de l'ambassadeur pour rejeter le TLS, mais ils ne peuvent pas être utilisés dans les systèmes de fabrication. Pour aider le trafic HTTPS privé de précautions de sécurité, nous voulons un certificat par une autorité de certificat approuvée. Grâce à la pile Edge Ambassador, nous pouvons le faire simplement en exigeant un certificat par le biais de la maintenance intégrée. Pour la passerelle API, nous offrons une méthode facile pour acquérir des certificats. Nous avons discuté dans cet article comment obtenir les informations sur les certificats ignorés. La pile d'ambassadeur Edge fournit une configuration de nombreuses sélections innovantes liées à la terminaison TLS, à l'origine, à l'authentification du certificat utilisateur et à la prise en charge SNI. Nous espérons que vous avez trouvé cet article utile. Consultez l'indice de Linux pour plus de conseils et d'informations.