Kubernetes中的SSL/TLS证书管理

Question

我们有10个运行在私有VPN内部的不同的kubernetes吊舱，这个吊舱是HTTP服务端点(而不是HTTPS)。但是，该服务将与HTTPS服务端点交互。从逻辑上讲，要从HTTP服务荚调用HTTP服务端点，需要SSL服务器证书信任。因此，我们决定将SSL证书存储在每个HTTPS中，以便调用HTTPS服务荚。

我想知道是否有其他方法来管理Kubernetes集群中不同荚之间的SSL证书？用于K8s证书管理的kubeadm怎么样？有什么建议吗？

Answer 1

这更像是一个一般的SSL证书问题，而不是专门针对Kubernetes的。

如果提供HTTPS端点的容器/吊舱已经正确配置了SSL，并且您正在使用的SSL证书是从已知的、受信任的CA购买/生成的(比如letsencrypt或任何已知的、受信任的证书公司)，那么您正在连接到HTTPS端点服务舱的其他容器应用程序就没有理由需要在其中存储任何特殊的内容。

唯一的例外是，如果您有自己的私有CA，并且在内部生成证书，并且正在您的HTTPS服务容器中安装它们。(或者如果您正在生成自签名证书)。然后，连接到https端点的荚/容器将需要了解CA证书。下面是一个处理此场景的堆栈溢出问题/答案：

How do I add a CA root certificate inside a docker image?

最后，在容器和容器调度器(如Kubernetes )中有更好的模式来管理SSL。这一切都取决于你的设计/架构。

一些一般性想法：

1. 在流量到达您的吊舱之前，在负载均衡器上终止SSL。然后，负载平衡器以HTTP的形式处理从自身到豆荚的通信，您的客户端在负载均衡器处终止SSL。(但这并不能真正解决特定的用例)
2. 使用类似Hashicorp这样的内部CA，并使用围绕该产品和Kubernetes的自动化来自动管理证书。
3. 在kubernetes环境中，使用类似于Jet堆栈的cert-manager之类的工具来管理SSL。它可以连接到多个“提供者”，如可以免费使用SSL的letsencrypt。https://github.com/jetstack/cert-manager

希望这能有所帮助。