kubernetes 클러스터는 클러스터 내에서 TLS 통신을위한 인증서에 서명 할 수 있습니다. ca는 클러스터의 ca이며 각 pod의 서비스 계정의 비밀이 전달됩니다.
1. 인증서 서명 요청 csr 생성
$ cat <<EOF | ./cfssl genkey - | ./cfssljson -bare server
{
"hosts": [
"nginx.default.svc.cluster.local"
],
"CN": "nginx.default.svc.cluster.local",
"key": {
"algo": "ecdsa",
"size": 256
}
}
EOF
2020/06/03 10:49:59 [INFO] generate received request
2020/06/03 10:49:59 [INFO] received CSR
2020/06/03 10:49:59 [INFO] generating key: ecdsa-256
2020/06/03 10:49:59 [INFO] encoded CSR
개인 키 파일 server-key.pem 및 서명 요청 파일 server.csr 생성
2. Kubernetes API로 전송되는 csr 객체 생성
$ cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
name: my-svc.default
spec:
request: $(cat server.csr | base64 | tr -d '\n')
usages:
- digital signature
- key encipherment
- server auth
EOF
certificatesigningrequest.certificates.k8s.io/my-svc.default created
csr 객체를 봅니다. 상태는 보류 중입니다.
$ k get csr
NAME AGE SIGNERNAME REQUESTOR CONDITION
my-svc.default 6m25s kubernetes.io/legacy-unknown kubernetes-admin Pending
3. 인증서 서명 요청 승인
$ k certificate approve my-svc.default
certificatesigningrequest.certificates.k8s.io/my-svc.default approved
$ k get csr
NAME AGE SIGNERNAME REQUESTOR CONDITION
my-svc.default 11m kubernetes.io/legacy-unknown kubernetes-admin Approved,Issued
4. 인증서 파일 다운로드
$ k get csr my-svc.default -o jsonpath='{.status.certificate}' | base64 --decode > server.crt
인증서 파일 server.crt 얻기
5. server.crt 및 server-key.pem을 사용하여 https 서버를 만듭니다.
5.1 인증서 및 개인 키에 대한 비밀 만들기
k create secret generic https --from-file=server.crt --from-file=server-key.pem
nginx 구성 파일을 만드는 5.2cm
$ cat <<EOF | k apply -f -
> apiVersion: v1
> kind: ConfigMap
> metadata:
> name: nginx
> data:
> my-nginx-config.conf: |
> server {
> listen 80;
> listen 443 ssl;
> server_name www.example.com;
> ssl_certificate certs/server.pem;
> ssl_certificate_key certs/server-key.pem;
> ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> ssl_ciphers HIGH:!aNULL:!MD5;
>
> location / {
> root /usr/share/nginx/html;
> index index.html index.htm;
> }
> }
> EOF
configmap/nginx created
5.3 nginx 배포 생성
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: nginx
name: nginx
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
initContainers:
- name: page-initiator
image: busybox
imagePullPolicy: Never
command: ['sh', '-c', 'echo $HOSTNAME > /data/index.html']
volumeMounts:
- mountPath: /data
name: page-volume
containers:
- image: nginx:1.7.9
name: nginx
imagePullPolicy: Never
volumeMounts:
- mountPath: /usr/share/nginx
name: page-volume
- mountPath: /etc/nginx/certs
name: certs
readOnly: true
- mountPath: /etc/nginx/conf.d
name: config
readOnly: true
ports:
- containerPort: 80
- containerPort: 443
volumes:
- name: page-volume
emptyDir: {}
- name: certs
secret:
secretName: https
- name: config
configMap:
name: nginx
items:
- key: my-nginx-config.conf
path: https.conf
6. 포드의 serviceaccount와 함께 ca.crt를 사용하여 https 사이트에 액세스합니다.
$ k run curl --image=curlimages/curl --command -- sleep infinity
$ k exec -it curl-9c984d666-9hlfc -- sh
$ curl https://nginx.default.svc.cluster.local --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
nginx-7464848dfc-twmtv