本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用保護庫伯尼特 AWS 私有 CA
Kubernetes 容器和應用程式會使用數位憑證,透過 TLS 提供安全驗證和加密。Kubernetes 中 TLS 憑證生命週期管理廣泛採用的解決方案是憑證管理員
AWS 私有 CA為 cert-manager 提供開放原始碼外掛程式 aws-privateca-issuer
下圖顯示在 Amazon EKS 叢集中使用 TLS 時可用的一些選項。此範例叢集包含各種資源,位於負載平衡器後方。這些數字可識別 TLS 保護通訊的可能端點,包括外部負載平衡器、輸入控制器、服務中的個別網繭,以及一對網繭彼此安全通訊。
-
在負載平衡器終止。
Elastic Load Balancing (ELB) 是一種AWS Certificate Manager整合式服務,這表示您可以使用私有 CA 佈建 ACM、使用它簽署憑證,然後使用 ELB 主控台進行安裝。此解決方案提供遠端用戶端與負載平衡器之間的加密通訊。資料會以未加密的方式傳遞至 EKS 叢集。或者,您可以提供私有憑證給非AWS負載平衡器來終止 TLS。
-
在 Kubernetes 入口控制器處終止。
入口控制器作為原生負載平衡器和路由器位於 EKS 叢集內部。如果您已同時安裝 cert-manager 和 aws-privateca-issuer,並使用私有 CA 佈建叢集,Kubernetes 可以在控制器上安裝已簽署的 TLS 憑證,讓它作為叢集的外部通訊端點。負載平衡器與入口控制器之間的通訊會加密,而在輸入後,資料會以未加密的方式傳送至叢集的資源。
-
在網繭上終止。
每個網繭都是一或多個共用儲存區和網路資源的容器群組。如果您已同時安裝憑證管理員和並aws-privateca-issuer使用私有 CA 佈建叢集,Kubernetes 可以視需要在網繭上安裝已簽署的 TLS 憑證。根據預設,叢集中的其他網繭無法使用終止於網繭的 TLS 連線。
-
網繭之間的安全通訊。
您也可以使用憑證佈建多個網繭,讓它們彼此通訊。可能的情況如下:
-
使用 Kubernetes 產生的自我簽署憑證進行佈建。這可保護網繭之間的通訊安全,但自我簽署憑證不符合 HIPAA 或 FIPS 需求。
-
使用私有 CA 簽署的憑證進行佈建。與上面的數字 2 和 3 一樣,這需要同時安裝 cert-manager 和 aws-privateca-issuer,並使用私有 CA 佈建叢集。然後,Kubernetes 可以視需要在網繭上安裝已簽署的 TLS 憑證。
-
跨帳戶使用憑證管理員
具有 CA 跨帳戶存取權的系統管理員可以使用憑證管理員來佈建 Kubernetes 叢集。如需詳細資訊,請參閱 跨帳戶存取私人的安全性最佳做法 CAs。
注意
只有特定AWS 私有 CA憑證範本可用於跨帳戶案例。支援的憑證範本 如需可用範本的清單,請參閱。
支援的憑證範本
下表列出可與憑證管理員搭配使用以佈建 Kubernetes 叢集的AWS 私有 CA範本。
範例解決方
下列整合解決方案示範如何在 Amazon EKS 叢集AWS 私有 CA上設定對的存取權限。