Ssl. Какие Доверенные Поставщики Предлагают Подстановочные Сертификаты И Связанные С Ними Расходы Для Использования На Платформе Оркестрации, Такой Как Kubernetes?

В настоящее время для создания доверенной веб-страницы используются certbot и nginx. Недавно была предпринята попытка переместить образы в кластер Kubernetes на облачной платформе Google. Было найдено руководство по настройке балансировщика нагрузки SSL. Это было опробовано, и оно показывает несколько текстовых полей для вставки ключа, сертификата и цепочки.

Была предпринята попытка узнать, предлагает ли Google также групповые сертификаты, но никакой информации обнаружено не было. Сам Certbot в прошлом году объявил, что будет поддерживать сертификаты с подстановочными знаками, но, похоже, это тоже не так. Первое впечатление заключается в том, что использование certbot в балансировщике нагрузки Google будет невозможно или будет обременительным, поскольку сертификаты необходимо обновлять каждые три месяца.

Когда кто-то гуглит: cheap wildcard ssl then a lot of results are shown. The questions are which of these providers can be considered as safe, what are the costs and what providers do you use and why?

#kubernetes #ssl #devsecops

Взгляните на «Ingress» и «Cert-Manager»:

• С помощью Kubernetes Ingress вы можете настроить балансировщик нагрузки, см., например. https://cloud.google.com/kubernetes-engine/docs/tutorials/http-balancer

• С помощью «Cert-Manager» вы можете получать сертификаты от Let's Encrypt (как это делает certbot), и он автоматически обновляет сертификаты. Видеть https://github.com/jetstack/cert-manager

Для использования kube-lego вы можете выполнить этот шаг:

Посещать https://github.com/jetstack/kube-lego/tree/master/examples/gce и следуйте инструкциям, чтобы пространство имен kube-lego заработало.

Создайте вход следующим образом:

 www.mycluster.com 

не забудьте заменить backend-service именем своей службы, а examplel.com — своим доменом.

Вы можете разместить столько разделов хоста, сколько вам нужно, каждый раздел хоста должен быть связан с доменом в разделе tls.

Используйте секрет app-ingress-tls для подключения в качестве тома в вашем сервисе.

Let's Encrypt — это бесплатный сервис TLS/SSL, который вы можете использовать с вашим кластером Kubernetes, и большая часть работы автоматизирована. Вы можете настроить кластер Kubernetes, чтобы он связался с Let's Encrypt и подтвердил, что вы являетесь владельцем доменного имени, и выдал вам сертификат.

Let's Encrypt не поверит на слово вашему кластеру Kubernetes, а вместо этого сделает запрос к тому доменному имени, которым вы предположительно владеете, и, если оно действительно принадлежит вам, вы ответите. Когда вы ответите на этот маршрут, вы автоматически получите сертификат от Let's Encrypt, который сохранит его в секрете и сделает доступным для вашего приложения. Обычно он действителен в течение 90 дней, а затем этот процесс автоматически повторяется.

Ваша задача — создать инфраструктуру, чтобы это произошло.

Шаг 1. Вам необходимо приобрести доменное имя. Вы можете использовать множество разных сервисов, но я бы рекомендовал домены.google.com.

Шаг 2. Вы хотите настроить свое доменное имя, перейдя на панель управления кластера Kubernetes в Услуги а затем найти Входная служба и это IP-адрес, который вы будете использовать для указания вашего доменного имени. Вы собираетесь нажать на DNS приобретенного вами доменного имени, найдите Пользовательские записи ресурсов и настроить пользовательские записи. Первый гарантирует, что пользователь, перешедший на mycluster.com, будет перенаправлен на указанный IP-адрес, второй гарантирует, что пользователь, перешедший на www.mycluster.com, будет перенаправлен на тот же указанный IP-адрес.

Итак, вы добавляете www symbol with an C запись и время жизни в 1 час, то есть время, необходимое для вступления записи в силу, и IP-адрес, назначенный вашему балансировщику нагрузки. Нет порта, только IP-адрес.

Второй тип записи A name with @ , 1 час жизни и, очевидно, это для вашего apiVersion: extensions/v1beta1 kind: Ingress metadata: name: app-ingress annotations: kubernetes.io/tls-acme: "true" kubernetes.io/ingress.class: "gce" spec: backend: serviceName: backend-service servicePort: 80 tls: - hosts: - example.com - api.example.com secretName: app-ingress-tls rules: - host: example.com http: path: - path: /* backend: serviceName: backend-service servicePort: 443 - host: api.example.com http: path: - path: /* backend: serviceName: backend-service servicePort: 443 and thats pretty much it for that.

Шаг 3. Настраивается кластер Kubernetes для получения сертификата TLS.

Шаг 4. Вам необходимо будет заполнить файлы конфигурации эмитента и сертификата.

Шаг 5. Разверните новые изменения

Шаг 6. Проверьте сертификат