تُستخدم شهادات SSL لتأمين التطبيق الذي تم إنشاؤه على Kubernetes من أجل الأمان في المستقبل. لنأخذ شهادة آمنة أخرى ، TLS ، تحتوي على مفتاح خاص آمن للغاية. يتم إنشاء الشهادات بشهادات: K8r.io API. سنقوم بتدريس تكوين شهادة SSL بمساعدة أمثلة مفصلة. لنبدأ بشهادة SSL في Kubernetes. شهادات SSL مهمة جدًا للمتصفحات. يقوم المتصفح ، بمساعدة شهادات SSL و TLS ، بإنشاء اتصال آمن بخدمات Kubernetes.
المتطلبات المسبقة:
يجب أن يكون لدى كل مستخدم أحدث إصدار من نظام Ubuntu. يقوم مستخدم نظام التشغيل Windows بتثبيت صندوق افتراضي ويضيف Ubuntu أو Linux افتراضيًا إلى النظام. يجب أن يكون المستخدمون على دراية بـ Kubernetes ، وسطر أوامر kubectl ، والقرون ، والمجموعات ، وأن يعرفوا نظام أسماء النطاقات العنقودي لفهم هذا الموضوع بشكل أفضل.
دعونا نلقي نظرة سريعة على تكوين شهادة SSL في Kubernetes عن طريق تقسيم الإجراء بأكمله إلى خطوات مختلفة.
الخطوة 1: ابدأ تشغيل لوحة تحكم Kubernetes
نريد بيئة في تطبيقنا حيث يمكننا تشغيل أوامر Kubernetes لأداء مهام Kubernetes. نتيجة لذلك ، يوفر لنا Kubernetes حاوية محلية تسمى 'minikube'. في كل مرة يبدأ فيها تطبيق Kubernetes ، سنبدأ تشغيل minikube في Kubernetes ، وهو في الأساس محطة طرفية ، وهو أمر مطلوب لتشغيل أوامر Kubernetes. في هذه الخطوة ، نقوم بتشغيل الأمر لتهيئة Minikube ، وهو:
> بدء minikube
عندما نقوم بتشغيل هذا الأمر على محطة النظام لدينا ، يبدأ تنفيذ الأمر بالضغط على زر الإدخال. يظهر لنا الأمر نتيجة لقطة شاشة مرفقة أدناه في المقابل.
الخطوة 2: إنشاء طلب توقيع الشهادة
بعد إنشاء مجموعة باستخدام Minikube ، نريد الآن إنشاء طلب توقيع شهادة. في مقابل هذا الإجراء ، نقوم بتشغيل الأمر لتوقيع طلب الشهادة وإنشاء مفتاح خاص.
> قط << EOF | جينكي cfssl - | cfssljson -فقط الخادم
بعد تنفيذ الاستعلام ، يتم إنشاء الطلب بنجاح باستخدام المفتاح الخاص. النتيجة مرفقة أعلاه كلقطة شاشة.
الخطوة 3: قم بإنشاء بيان طلب توقيع الشهادة في ملف YAML
في هذه الخطوة ، سننشئ ملف بيان YAML لإنشاء CSR في Kubernetes. نقوم بتشغيل الأمر أدناه:
> قط << EOF | kubectl تطبيق -F -بعد تنفيذ هذا الأمر ، يتم إنشاء ملف YAML بنجاح. ونرسلها إلى خادم API ، كما هو موضح في لقطة الشاشة المرفقة.
الخطوة 4: الحصول على حالة طلب توقيع الشهادة
في هذه الخطوة ، سننظر في حالة CSR كما تظهر من خلال واجهة برمجة التطبيقات. يمكننا تشغيل الأمر المحدد لاسترداد حالة طلب الشهادة.
> يصف kubectl مساحة الاسم csv my-svc.my 
عند تشغيل الأمر ، يتم عرض حالة CSR في الإخراج ، كما هو موضح في لقطة الشاشة المرفقة. حالة CSR 'معلقة' ، وتأتي هذه الحالة من API. اسم الملف هو my-svc. يتم تضمين مساحة الاسم والتعليقات التوضيحية ، وطلب المستخدم والموضوع ، والأسماء البديلة للموضوع التي لها أسماء DNS وعناوين IP ، والأحداث ، وما إلى ذلك في وصف CSR. الحالة 'معلقة' ، مما يعني أن شهادة CSR لم تتم الموافقة عليها بعد.
الخطوة 5: اعتماد شهادات المسؤولية الاجتماعية للشركات
لا تزال حالة شهادة CSR معلقة. لذلك ، في هذه الحالة ، سوف نرسل استعلامًا إلى Kubernetes 'API للموافقة على شهادة CSR. نقوم بتشغيل هذا الأمر للموافقة عليه:
> توافق شهادة kubectl على مساحة الاسم my-svcيظهر الأمر الإخراج بعد التنفيذ. يوافق شخص مخول ، مثل إدارة Kubernetes ، على شهادة المسؤولية الاجتماعية للشركات. نظرًا لأننا مستخدمون مرخصون ، فإننا نقوم بإنشاء ملفات YAML. نتيجة لذلك ، تتم الموافقة على شهادة CSR بسهولة باستخدام الأمر ، كما هو موضح في لقطة الشاشة أدناه للتوضيح.
تم اعتماد مساحة الاسم my-svc.my بنجاح من خلال واجهة برمجة تطبيقات الشهادات.
الخطوة 6: إحضار شهادة CSR في Kubernetes
نحن الآن ننتظر لنرى ما إذا كانت شهادة CSR قد تمت الموافقة عليها. لذلك ، سنقوم بتشغيل الأمر للحصول على قائمة بجميع شهادات CSR النشطة حاليًا في النظام. قم بتشغيل الأمر:
> kubectl الحصول على csr 
يظهر اسم شهادة CSR المعتمدة في Kubernetes في لقطة الشاشة المرفقة. يقوم هذا الأمر بإرجاع الاسم والعمر واسم الموقّع ومقدم الطلب والمدة المطلوبة وحالة شهادة CSR.
الخطوة 7: قم بتوقيع الشهادة عن طريق إنشاء المرجع
في هذه الخطوة ، سنرى كيف يتم تسجيل الشهادات في Kubernetes. تمت الموافقة على شهادة SSL ولكن لم يتم التوقيع عليها بعد. يظهر اسم المُوقِّع على الشهادة في Kubernetes. نقوم بتشغيل الأمر الذي من خلاله يوقع الموقّع المطلوب الشهادة. الأمر هو:
> قط << EOF | جينارت cfssl -initca - | cfssljson - كاليفورنيا عارية{
'CN' : 'My Example Signer' و
'مفتاح' : {
'شيئا ما' : 'rsa' و
'بحجم' : 2048
}
}
EOF
يتم تشغيل الأمر لتوقيع الشهادة رقميًا. يوقّع الموقّع الشهادات المطلوبة ويحدّث حالة واجهة برمجة التطبيقات بالأمر 'شهادة SSL'. أنشأنا شهادة توقيع عن طريق تشغيل الأمر أعلاه وتظهر النتيجة في لقطة الشاشة المرفقة. تم استخدام رقم تسلسلي فريد بنجاح لتوقيع الشهادة.
الخطوة 8: قم بإنشاء ملف JSON لإصدار شهادة
بعد توقيع الشهادة ، نقوم بإنشاء ملف JSON نصدر منه شهادة. سننشئ ملف JSON عن طريق تشغيل الأمر التالي مع لقطة الشاشة المرفقة:
> نانو signaturefile.jsonبعد تنفيذ الأمر ، يتم إنشاء ملف JSON كما يمكن مشاهدته في لقطة الشاشة أدناه.
الخطوة 9: استخدم Server-Signing-config.json
في هذه الخطوة ، نستخدم ملف تهيئة توقيع الخادم الموجود في JSON للتوقيع وإصدار الشهادات. نقوم بتشغيل الأمر الخاص بتوقيع الشهادة بملف مفتاح خاص.
> kubectl الحصول على csr my-svc.my-namespace -ال jsonpath = ' { .spec.request } ' | \ base64 --فك تشفير | علامة \ cfssl -الذي - التي ca.pem -ca-ca-key ca-key.pem -تكوين خادم التوقيع config.json | \ cfssljson -فقط خادم موقعة CA 
بعد هذا الأمر ، يتم توقيع الشهادة المحددة بالفعل في ملف json. يتم إنشاء الرقم التسلسلي لممثل خدمة العملاء هذا. هنا ، نقوم بإنشاء ملف شهادة خدمة موقع باسم 'ca-signed-server.pem'.
الخطوة 10: تحميل الشهادة الموقعة في كائن API
في هذه الخطوة ، نقوم بتحميل الشهادة الموقعة إلى حالة API المعلقة التي رأيناها أعلاه. أمر الرفع هو:
> kubectl الحصول على csr my-svc.my-namespace -ال json | \ jq '.status.certificate = '' $ ( Base64 ca- موقعة-server.pem | آر -د '\ن' ) '' ' | \
> استبدال kubectl --الخام / أبيس / الشهادات / الإصدار 1 / طلبات التوقيع على الشهادات / my-svc.my- مساحة الاسم / الحالة -F -
عند تنفيذ هذا الأمر ، يتم تحميل الشهادة الموقعة بنجاح كلما تمت الموافقة على CSR. توضح لنا لقطة الشاشة المرفقة أعلاه تنسيق JSON الذي يقوم بتحميل الشهادة الموقعة ككائنات API.
الخطوة 11: إدراج الشهادات المعتمدة في Kubernetes
نقوم مرة أخرى بتشغيل الأمر لإظهار الشهادات المعتمدة في Kubernetes.
> kubectl الحصول على csr 
تمت الموافقة على الشهادة وإصدارها بنجاح ، كما هو موضح في الصورة أعلاه.
الخطوة 12: احفظ الشهادة في النظام
في هذه الخطوة ، سنتعلم كيفية تنزيل الشهادة الموقعة واستخدامها بنجاح في نظامنا. ننشر الشهادة بسهولة على الخادم. الأمر هو:
> kubectl الحصول على csr my-svc.my-namespace -ال jsonpath = '{.status.certificate}' \| قاعدة 64 --فك تشفير > server.crt
الخطوة 13: ملء الشهادة
في هذه الخطوة ، سنتعلم كيفية تعبئة الشهادة على الخادم حتى نتمكن من استخدام الشهادة بسهولة لأمان الويب. نقوم بتشغيل الأمر:
كلثوم @ كلثوم > kubectl إنشاء خادم TLS سرية - شهادة server.crt --مفتاح server-key.pem 
توضح لنا لقطة الشاشة المرفقة أعلاه أن خادم TLS الآمن أو السري يتم إنشاؤه بنجاح باستخدام خادم شهادة الاسم وله مفتاح خادم خاص.
الخطوة 14: تكوين تعيين الشهادة
في هذه الخطوة ، سنقوم بتهيئة الشهادة للتأكد من أنها شهادة خدمة آمنة عن طريق تشغيل الأمر أدناه:
> kubectl قم بإنشاء configmap example-serve-ca --من - الملف ca.crt = ca.pem 
كما هو موضح في لقطة الشاشة المرفقة ، تم إنشاء خريطة config / example-serve-ca بنجاح في Kubernetes من أجل اتصال آمن على خادم الويب.
استنتاج
تُستخدم شهادات SSL لتوفير الأمان لتطبيقات Kubernetes على خادم الويب. شرحنا كل خطوة بالتفصيل لتفهمك. يمكنك أيضًا تشغيل نفس الأوامر على تطبيق Kubernetes لتثبيت شهادة SSL.