在 Kubernetes 和 NGINX 中使用自签名证书设置 mTLS
mTLS setup using self-signed cert in Kubernetes and NGINX
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX ingress 来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务,因此强制客户端指定证书以便能够与 echo 服务通信。这是一个 POC,所以我使用的是自签名证书。
我需要设置哪些 Kubernetes 组件才能实现这一目标?我阅读了 NGINX 文档,但无法理解是否需要在 Kubernetes 集群中创建证书 Authority/Cert-manager 并使用它来配置入口服务以执行 mTLS 步骤。我可以在入口处终止 SSL(在执行 mTLS 之后)并允许从入口到 echo-service 的不安全通道。
我希望有这种设置经验的人可以提供一些指导。
谢谢!
首先,mTLS 和 TLS/SSL 终止并不完全相同。 mTLS 是 mutual authentication 表示客户端对服务器进行身份验证,服务器对客户端进行身份验证。
通常 SSL 终止负责服务器对客户端的身份验证,但它需要客户端支持服务器才能对客户端进行身份验证。
另外,Certificate Authority and what I believe you are referring to as certificate manager 是两个不同的东西。
对于 Kubernetes,您可以设置 TLS/SSL termination on an Ingress using an ingress controller like Nginx. You can totally use a self-signed certificate with your own Certificate Authority with this。唯一的问题是您的请求将不会被验证,但您的 client/browser 除非 CA(证书颁发机构)被添加为受信任的实体。
现在,对于 mTLS,您不必关心是否使用完全相同的 CA、证书和密钥来进行两种方式的身份验证。但是,您必须强制您的入口对客户端进行身份验证,并且使用 Nginx 入口控制器,您可以使用这些注释来完成:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/mycerts"
您将在 K8s 中使用如下内容创建上述秘密:
kubectl create secret generic mycerts --from-file=tls.crt=server.crt --from-file=tls.key=server.key --from-file=ca.crt=ca.crt
此 blog 中的更多详细信息。
注意:像 Istio, Linkerd, and Consul 这样的服务网格支持您的服务之间开箱即用的 mTLS。
✌️
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX ingress 来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务,因此强制客户端指定证书以便能够与 echo 服务通信。这是一个 POC,所以我使用的是自签名证书。
我需要设置哪些 Kubernetes 组件才能实现这一目标?我阅读了 NGINX 文档,但无法理解是否需要在 Kubernetes 集群中创建证书 Authority/Cert-manager 并使用它来配置入口服务以执行 mTLS 步骤。我可以在入口处终止 SSL(在执行 mTLS 之后)并允许从入口到 echo-service 的不安全通道。
我希望有这种设置经验的人可以提供一些指导。
谢谢!
首先,mTLS 和 TLS/SSL 终止并不完全相同。 mTLS 是 mutual authentication 表示客户端对服务器进行身份验证,服务器对客户端进行身份验证。
通常 SSL 终止负责服务器对客户端的身份验证,但它需要客户端支持服务器才能对客户端进行身份验证。
另外,Certificate Authority and what I believe you are referring to as certificate manager 是两个不同的东西。
对于 Kubernetes,您可以设置 TLS/SSL termination on an Ingress using an ingress controller like Nginx. You can totally use a self-signed certificate with your own Certificate Authority with this。唯一的问题是您的请求将不会被验证,但您的 client/browser 除非 CA(证书颁发机构)被添加为受信任的实体。
现在,对于 mTLS,您不必关心是否使用完全相同的 CA、证书和密钥来进行两种方式的身份验证。但是,您必须强制您的入口对客户端进行身份验证,并且使用 Nginx 入口控制器,您可以使用这些注释来完成:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/mycerts"
您将在 K8s 中使用如下内容创建上述秘密:
kubectl create secret generic mycerts --from-file=tls.crt=server.crt --from-file=tls.key=server.key --from-file=ca.crt=ca.crt
此 blog 中的更多详细信息。
注意:像 Istio, Linkerd, and Consul 这样的服务网格支持您的服务之间开箱即用的 mTLS。
✌️