使用保護庫伯尼特 AWS 私有 CA - AWS Private Certificate Authority
跨帳戶使用憑證管理員支援的憑證範本 範例解決方

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用保護庫伯尼特 AWS 私有 CA

Kubernetes 容器和應用程式會使用數位憑證,透過 TLS 提供安全驗證和加密。Kubernetes 中 TLS 憑證生命週期管理廣泛採用的解決方案是憑證管理,這是 Kubernetes 的附加元件,可要求憑證、將憑證散佈至 Kubernetes 容器,以及自動執行憑證續約。

AWS 私有 CA為 cert-manager 提供開放原始碼外掛程式 aws-privateca-issuer,適用於想要設定 CA 而不在叢集中儲存私密金鑰的 cert-manager 使用者。具備控制 CA 作業存取與稽核之法規需求的使用者,可以使用此解決方案來改善稽核性並支援合規性。您可以將AWS私有 CA 發行者外掛程式搭配使用 Amazon Elastic Kubernetes Service (Amazon EKS)、自我管理的 Kubernetes,或在現場部署 Kubernetes 中使用。AWS

下圖顯示在 Amazon EKS 叢集中使用 TLS 時可用的一些選項。此範例叢集包含各種資源,位於負載平衡器後方。這些數字可識別 TLS 保護通訊的可能端點,包括外部負載平衡器、輸入控制器、服務中的個別網繭,以及一對網繭彼此安全通訊。

簡化的庫伯內特拓撲

  1. 在負載平衡器終止。

    Elastic Load Balancing (ELB) 是一種AWS Certificate Manager整合式服務,這表示您可以使用私有 CA 佈建 ACM、使用它簽署憑證,然後使用 ELB 主控台進行安裝。此解決方案提供遠端用戶端與負載平衡器之間的加密通訊。資料會以未加密的方式傳遞至 EKS 叢集。或者,您可以提供私有憑證給非AWS負載平衡器來終止 TLS。

  2. 在 Kubernetes 入口控制器處終止。

    入口控制器作為原生負載平衡器和路由器位於 EKS 叢集內部。如果您已同時安裝 cert-manageraws-privateca-issuer,並使用私有 CA 佈建叢集,Kubernetes 可以在控制器上安裝已簽署的 TLS 憑證,讓它作為叢集的外部通訊端點。負載平衡器與入口控制器之間的通訊會加密,而在輸入後,資料會以未加密的方式傳送至叢集的資源。

  3. 在網繭上終止。

    每個網繭都是一或多個共用儲存區和網路資源的容器群組。如果您已同時安裝憑證管理員和並aws-privateca-issuer使用私有 CA 佈建叢集,Kubernetes 可以視需要在網繭上安裝已簽署的 TLS 憑證。根據預設,叢集中的其他網繭無法使用終止於網繭的 TLS 連線。

  4. 網繭之間的安全通訊。

    您也可以使用憑證佈建多個網繭,讓它們彼此通訊。可能的情況如下:

    • 使用 Kubernetes 產生的自我簽署憑證進行佈建。這可保護網繭之間的通訊安全,但自我簽署憑證不符合 HIPAA 或 FIPS 需求。

    • 使用私有 CA 簽署的憑證進行佈建。與上面的數字 2 和 3 一樣,這需要同時安裝 cert-manageraws-privateca-issuer,並使用私有 CA 佈建叢集。然後,Kubernetes 可以視需要在網繭上安裝已簽署的 TLS 憑證。

跨帳戶使用憑證管理員

具有 CA 跨帳戶存取權的系統管理員可以使用憑證管理員來佈建 Kubernetes 叢集。如需詳細資訊,請參閱 跨帳戶存取私人的安全性最佳做法 CAs

注意

只有特定AWS 私有 CA憑證範本可用於跨帳戶案例。支援的憑證範本 如需可用範本的清單,請參閱。

支援的憑證範本

下表列出可與憑證管理員搭配使用以佈建 Kubernetes 叢集的AWS 私有 CA範本。

庫伯氏支援的範本 Support 跨帳戶使用
BlankEndEntityCertificate_企業社會責任通過/V1 定義
CodeSigningCertificate/V1 定義
EndEntityCertificate/V1 定義
EndEntityClientAuthCertificate/V1 定義
EndEntityServerAuthCertificate/V1 定義
OCSP 定SigningCertificate義

範例解決方

下列整合解決方案示範如何在 Amazon EKS 叢集AWS 私有 CA上設定對的存取權限。