Los certificados SSL se utilizan para proteger la aplicación que se realiza en Kubernetes para seguridad futura. Tomemos otro certificado seguro, TLS, que contiene una clave privada muy segura. Los certificados se crean con certificados: API de K8r.io. Enseñaremos sobre la configuración del certificado SSL con la ayuda de ejemplos detallados. Comencemos con el certificado SSL en Kubernetes. Los certificados SSL son muy importantes para los navegadores. El navegador, con la ayuda de certificados SSL y TLS, crea una conexión segura con los servicios de Kubernetes.
Requisitos previos:
Cada usuario debe tener la última versión de Ubuntu de su sistema. El usuario del sistema operativo Windows instala una caja virtual y agrega Ubuntu o Linux virtualmente al sistema. Los usuarios deben estar familiarizados con Kubernetes, la línea de comandos de kubectl, los pods y los clústeres, y conocer el DNS del clúster para comprender mejor este tema.
Echemos un breve vistazo a la configuración del certificado SSL en Kubernetes dividiendo todo el procedimiento en diferentes pasos.
Paso 1: Inicie el Panel de control de Kubernetes
Queremos un entorno en nuestra aplicación donde podamos ejecutar comandos de Kubernetes para realizar tareas de Kubernetes. Como resultado, Kubernetes nos brinda un contenedor local llamado 'minikube'. En cada inicio de aplicación de Kubernetes, iniciaremos un minikube en Kubernetes, que es básicamente un terminal, que se requiere para ejecutar los comandos de Kubernetes. En este paso, ejecutamos el comando para inicializar Minikube, que es:
> iniciar minikube
Cuando ejecutamos este comando en la terminal de nuestro sistema, la ejecución del comando comienza presionando el botón enter. El comando nos muestra un resultado de captura de pantalla adjunto a continuación.
Paso 2: generar solicitud de firma de certificado
Después de crear un clúster con Minikube, ahora queremos crear una solicitud de firma de certificado. A cambio de esta acción, ejecutamos el comando para firmar la solicitud de certificado y generar una clave privada.
> gato << fin de semana | genkey cfssl - | cfssljson -justo servidor
Después de la ejecución de la consulta, la solicitud se genera correctamente con la clave privada. El resultado se adjunta arriba como una captura de pantalla.
Paso 3: cree un manifiesto de solicitud de firma de certificado en el archivo YAML
En este paso, crearemos un manifiesto de archivo YAML para crear una CSR en Kubernetes. Ejecutamos el siguiente comando:
> gato << fin de semana | aplicar kubectl -F –Tras la ejecución de este comando, se crea correctamente un archivo YAML. Y lo enviamos al servidor API, como se muestra en la captura de pantalla adjunta.
Paso 4: obtener el estado de la solicitud de firma del certificado
En este paso, veremos el estado de CSR como se ve a través de la API. Podemos ejecutar el comando dado para recuperar el estado de la solicitud de certificado.
> kubectl describe csv my-svc.my-namespace 
Cuando se ejecuta el comando, el estado de CSR se muestra en la salida, como se muestra en la captura de pantalla adjunta. El estado de CSR es 'pendiente' y este estado proviene de la API. El nombre del archivo es my-svc. my-namespace y anotaciones, usuario solicitante y sujeto, nombres alternativos de sujeto que tienen nombres DNS y direcciones IP, eventos, etc. se incluyen en la descripción de la CSR. El estado es 'pendiente', lo que significa que el certificado CSR aún no se ha aprobado.
Paso 5: Aprobación de certificados CSR
El estado del certificado CSR aún está pendiente. Entonces, en este caso, enviaremos una consulta a la API de Kubernetes para aprobar el certificado CSR. Ejecutamos este comando para su aprobación:
> certificado kubectl aprobar my-svc .my-namespaceEl comando muestra la salida después de la ejecución. Una persona autorizada, como la administración de Kubernetes, aprueba el certificado CSR. Como somos usuarios autorizados, creamos archivos YAML. Como resultado, el certificado CSR se aprueba fácilmente con el comando, como se muestra en la siguiente captura de pantalla para mayor claridad.
my-svc.my-namespace se aprueba con éxito a través de la API certificates.k8s.io.
Paso 6: obtenga el certificado CSR en Kubernetes
Ahora estamos a la espera de ver si el certificado CSR ha sido aprobado. Entonces, ejecutaremos el comando para obtener una lista de todos los certificados CSR que están actualmente activos en el sistema. Ejecute el comando:
> kubectl obtener csr 
El nombre del certificado CSR aprobado en Kubernetes se muestra en la captura de pantalla adjunta. Este comando devuelve el nombre, la edad, el nombre del firmante, el solicitante, la duración solicitada y la condición del certificado CSR.
Paso 7: Firme el certificado mediante la creación de autoridad
En este paso veremos cómo se firman los certificados en Kubernetes. El certificado SSL está aprobado pero aún no está firmado. El nombre del firmante aparece en el certificado en Kubernetes. Ejecutamos el comando mediante el cual el firmante solicitado firma el certificado. El comando es:
> gato << fin de semana | genart cfssl -initca - | cfssljson – desnudo ca{
'CN' : 'Mi firmante de ejemplo' ,
'llave' : {
'algo' : 'rsa' ,
'Talla' : 2048
}
}
fin de semana
Se ejecuta el comando para firmar el certificado digitalmente. El firmante firma los certificados solicitados y actualiza el estado de la API con el comando 'certificado SSL'. Creamos un certificado de firma ejecutando el comando anterior y el resultado se muestra en la captura de pantalla adjunta. Se ha utilizado correctamente un número de serie único para firmar el certificado.
Paso 8: Cree un archivo JSON para emitir un certificado
Después de la firma del certificado, creamos un archivo JSON desde el cual emitimos un certificado. Crearemos un archivo JSON ejecutando el siguiente comando con la captura de pantalla adjunta:
> nano archivofirma.jsonDespués de ejecutar el comando, se crea el archivo JSON como se puede ver en la siguiente captura de pantalla.
Paso 9: use Server-Signing-config.json
En este paso, usamos el archivo server-signing-config que está en JSON para firmar y emitir los certificados. Ejecutamos el comando para la firma del certificado con un archivo de clave privada.
> kubectl obtener csr my-svc.my-namespace -Él ruta json =’ { .spec.solicitud } ’ | \base64 --descodificar | \ signo cfssl -eso ca.pem -ca ca-clave ca-clave.pem -config servidor-firma-config.json | \ cfssljson -justo servidor firmado por CA 
Después de este comando, se firma el certificado que ya está definido en el archivo json. Se genera el número de serie de este CSR. Aquí, generamos un archivo de certificado de servicio firmado llamado 'ca-signed-server.pem'.
Paso 10: Carga de certificado firmado en objeto API
En este paso, subimos el certificado firmado al estado pendiente de la API que vimos anteriormente. El comando para cargar es:
> kubectl obtener csr my-svc.my-namespace -Él json | \ jq '.estado.certificado = '' $ ( base64 ca-signed-server.pem | tr -d '\norte' ) ' ' ' | \
> kubectl reemplazar --crudo / api / certificates.k8s.io / v1 / certificadofirmarsolicitudes / my-svc.my- espacio de nombres / estado -F -
Cuando se ejecuta este comando, el certificado firmado se carga correctamente cada vez que se aprueba la CSR. La captura de pantalla adjunta nos muestra un formato JSON que carga el certificado firmado como objetos API.
Paso 11: Obtenga certificados aprobados en Kubernetes
Volvemos a ejecutar el comando para mostrar los certificados aprobados en Kubernetes.
> kubectl obtener csr 
El certificado fue aprobado y emitido con éxito, como se muestra en la captura de pantalla anterior.
Paso 12: Guarde el Certificado en el Sistema
En este paso, aprenderemos cómo descargar el certificado firmado y usarlo con éxito en nuestro sistema. Implementamos fácilmente el certificado en el servidor. El comando es:
> kubectl obtener csr my-svc.my-namespace -Él ruta json = '{.estado.certificado}' \| base64 --descodificar > servidor.crt
Paso 13: Rellene el certificado
En este paso, aprenderemos cómo completar el certificado en el servidor para que podamos usarlo fácilmente para la seguridad web. Ejecutamos el comando:
Kalsoom @ Kalsoom > kubectl crea un servidor tls secreto --certificado servidor.crt --llave servidor-clave.pem 
La captura de pantalla adjunta arriba nos muestra que el servidor seguro o secreto TLS se creó con éxito con el nombre cert server.cr y con la clave privada server-key.pem.
Paso 14: Configure el mapa del certificado
En este paso, configuraremos el certificado para garantizar que sea un certificado de servicio seguro ejecutando el siguiente comando:
> kubectl create configmap ejemplo-servicio-ca --desde el archivo ca.crt=ca.pem 
Como se muestra en la captura de pantalla adjunta, el mapa de configuración/example-serving-ca se creó correctamente en Kubernetes para una conexión segura en el servidor web.
Conclusión
Los certificados SSL se utilizan para proporcionar seguridad a las aplicaciones de Kubernetes en el servidor web. Explicamos cada paso en detalle para su comprensión. También puede ejecutar los mismos comandos en su aplicación de Kubernetes para instalar el certificado SSL.