使用 k8s/istio/cert-manager 和 vault 保障应用的 tls 安全

最新推荐文章于 2024-05-16 22:43:53 发布
最新推荐文章于 2024-05-16 22:43:53 发布
阅读量339 收藏
点赞数
文章标签: java linux kubernetes https python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NewTyun/article/details/127312363
版权

ceac4b2354f3b22e113555b645ad7237.gif

新钛云服已累计为您分享690篇技术干货

b954191526e9f714c989a865fd1e87b7.gif

前言

Vault 是安全应用维护人员最喜欢的 hashcorp 产品之一 。Vault 是存储机密、证书、管理策略、加密数据等内容的安全工具。Vault 使用受信任的身份集中密码和控制访问权限,以此减少对静态、硬编码凭证的需求。它使用集中托管和受保护的加密密钥来动态和静态加密敏感数据,所有一切均可通过单个工作流和 API 实现。

Istio 非常重要的一个功能是能够锁定并且保护网格内的来往流量。本文的目的是基于 TLS 启动一个简单的 Web 应用程序,然后使用 Vault 生成对应的安全证书,从而保证 Istio 管理的服务安全

简单点说,使用 TLS 时候,当您建立连接时,服务器会提供一个公钥,您可以使用此密钥对传输中的数据进行加密,一旦被目标服务器接收,数据将使用私钥解密。为了验证密钥是否有效,可以使用 CA(通常 CA 是付费服务),但我们可以通过 vault 创建一个自签名 CA)。

现在先让我们忽略 vault,让我们在系统上创建一个测试环境。为此使用 kind (https://kind.sigs.k8s.io/) 来快速创建一个测试环境。

用 kind 建立一个 kubernetes 集群

下载 kind 后,我们可以定义一个 kind 配置文件来启动 4 个 worker。我们还可以配置一些端口映射,以确保我们可以直接访问入口网关。

 
 
kind: Cluster
apiVersion: kind.x-k8s.io/v1alpha4
nodes:
- role: control-plane
extraPortMappings:
- containerPort: 30725
  hostPort: 8080
  listenAddress: "127.0.0.1"
  protocol: TCP
- containerPort: 32652
  hostPort: 8443
  listenAddress: "127.0.0.1"
  protocol: TCP
- role: worker
- role: worker
- role: worker
- role: worker
 
 
使用 kind 来创建我们的集群
 
 
kind create cluster --name chris --config ~/kube.cfg
 
 
节点已启动
 
 
kubectl get nodes
NAME                  STATUS   ROLES           AGE   VERSION
chris-control-plane   Ready    control-plane   21h   v1.24.0
chris-worker          Ready    <none>          21h   v1.24.0
chris-worker2         Ready    <none>          21h   v1.24.0
chris-worker3         Ready    <none>          21h   v1.24.0
chris-worker4         Ready    <none>          21h   v1.24.0
 
 
使用istioctl (https://github.com/istio/istio/releases) 命令安装 istio 。首先让我们定义一下配置内容。因为我们在本地运行,所以我们降低了一些资源要求。
 
 
--- 
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  namespace: istio-system
  name: installed-state
spec: 
  components: 
    ingressGateways: 
      - 
        enabled: true
        name: istio-ingressgateway
        namespace: istio-system
    pilot: 
      k8s: 
        hpaSpec: 
          maxReplicas: 2
          minReplicas: 1
        resources: 
          requests: 
            cpu: 512m
            memory: 512Mi
  profile: default
  values:
    global:
      istioNamespace: istio-system
 
 
安装 istio
 
 
 
 
istioctl manifest install -f ~/istio.cfg
 
 
删除默认类型的 istio-ingressgateway 的 service。
 
 
 
 
kubectl delete svc istio-ingressgateway -n istio-system
 
 
创建一个 NodePort 服务,从而实现从节点端口访问 istio-ingressgateway 。
 
 
 
 
apiVersion: v1
kind: Service
metadata:
  labels:
    app: istio-ingressgateway
    istio: ingressgateway
  name: istio-ingressgateway
  namespace: istio-system
spec:
  type: NodePort
  ports:
  - name: http
    nodePort: 30725
    port: 8080
    protocol: TCP
    targetPort: 8080
  - name: https
    nodePort: 32652
    port: 443
    protocol: TCP
    targetPort: 8443
  selector:
    app: istio-ingressgateway
 
 
应用一下
 <


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  新钛云服
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
vault-k8s:对VaultKubernetes的一流支持

				
			

			

				

					03-19
				

			

		

		

			
				
保管箱+ Kubernetesvault-k8svault-k8s二进制文件包括VaultKubernetes之间的一流集成。当前,此存储库中唯一的集成是Vault Agent Sidecar Injector( agent-inject )。将来将在此处找到更多集成。
 KubernetesVault的集成。该自述文件将提供每个用例的基本概述,但有关完整文档,请参考Vault网站。
该项目的版本与Vault分开。每个功能支持的保管库版本将在下面注明。通过对该项目分别进行版本控制,我们可以更快地迭代Kubernetes集成并发布新版本,而不必强迫Vault用户进行完整的Vault升级。
特征
 :Agent Inject是一个变异Webhook控制器,可将Vault Agent容器注入满足特定注释条件的Pod中。 (需要Vault 1.3.1+)
安装
vault-k8s分布有

			
		

	



                

              
                



	

		

			

				
					
ISTIO-cert-manager-and-smallstep-ca:在以下示例中,我将展示如何通过一小步来设置证书管理器,自动创建证书以及配置双向TLS ISTIO入口网关。

				
			

			

				

					03-09
				

			

		

		

			
				
SmallStep是一个非常强大的工具,可用于许多建议和用例。  在以下示例中,我将展示如何... kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml 验证Pod已创建并正

			
		

	



                


  
              

                


	

		

			

				
					
Autodesk Vault数据管理平台的介绍

				
			

			

				

					WeShining的专栏
				

				

					09-02
					
					2686
					
				

			

		

		

			
				
Autodesk Vault作为Autodesk所

			
		

	





	

		

			

				
					
K8S使用helm部署vault集群_vault-unseal

					
最新发布

				
			

			

				

					m0_54903333的博客
				

				

					05-16
					
					651
					
				

			

		

		

			
				
需要完整版PDF学习资源Success!Success!Success!Success!/ $Success!Success!metadata:还有兄弟不知道网络安全面试可以提前刷题吗?

			
		

	



		

			
		



	

		

			

				
					
K8SVault集成,进行Secret管理

				
			

			

				

					wanger5354的博客
				

				

					01-11
					
					2288
					
				

			

		

		

			
				
Vault 是用于处理和加密整个基础架构秘钥的中心管理服务。Vault 通过 secret 引擎管理所有的秘钥,Vault 有一套 secret 引擎可以使用。其主要有以下功能:安全密钥存储:任意的key/value Secret都可以存储到Vault中,Vault会对这些Secret进行加密并持久化存储。后端存储支持本地磁盘、cosul等;动态密钥:Vault可以动态生成Secret,在租约到期后会自动撤销它们;数据加密:Vault可以加密和解密数据,安全团队可以自定义加密参数;租赁和续订:Vault

			
		

	





	

		

			

				
					
运维篇 k8sKubernetes

				
			

			

				

					用针戳左手中指指头的博客
				

				

					05-03
					
					1832
					
				

			

		

		

			
				
文章目录1. 什么是k8s?2. 安装Ubuntu server3. 安装docker4. 搭建集群1. 修改主机名2.安装kubelet、kubeadm、kubectl3.配置master4. 配置node5. 网络配置6. 实例:运行tomcat容器
1. 什么是k8sk8skubernetes的简称,即字母“k”到最后一位相隔8位字母。名字来源于希腊语,意思是“舵手”或“领航员”。
k...

			
		

	





	

		

			

				
					
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤

				
			

			

				

					zhengzaifeidelushang的博客
				

				

					06-19
					
					3905
					
				

			

		

		

			
				
至此成功安装部署Vault

下一篇详细了解下如何应用安全工具Vault

			
		

	





	

		

			

				
					
cert-manager-v0.6.7.tgz

				
			

			

				

					08-03
				

			

		

		

			
				
cert-manager v0.6.7】是针对Kubernetes(简称k8s)集群的一款证书管理工具,主要用于自动化TLS证书的申请、更新和管理。这个压缩包文件"cert-manager-v0.6.7.tgz"包含了该工具的一个特定版本——v0.6.7的安装资源...

			
		

	





	

		

			

				
					
cert-manager:在Kubernetes中自动配置和管理TLS证书

				
			

			

				

					02-02
				

			

		

		

			
				
证书经理cert-managerKubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...

			
		

	





	

		

			

				
					
jetstack/cert-manager CRDs

				
			

			

				

					01-07
				

			

		

		

			
				
kubernetes证书服务cert-manager安装所需的CRDs。  kubectl apply --validate=false -f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.12/deploy/manifests/00-crds.yaml  可能由于网络原因...

			
		

	





	

		

			

				
					
cert-manager-webhook-ovh:OVH Webhook证书管理器

				
			

			

				

					05-09
				

			

		

		

			
				
 helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...

			
		

	





	

		

			

				
					
kubernetes-vault使用保管库存储Kubernetes的机密!

				
			

			

				

					02-03
				

			

		

		

			
				
Kubernetes Vault集成
Kubernetes-Vault项目允许吊舱使用Vault的自动接收Vault令牌。
强调
默认为安全Kubernetes-Vault控制器不允许使用根令牌对Vault进行身份验证。
 Prometheus指标通过http或https终结点,并带有可选的TLS客户端身份验证。
 支持将所有支持TLS的组件用作Vault的CA或外部CA。
 使用Raft的高可用性模式,因此,如果领导者失败了,跟随者可以立即接管。
 使用Kubernetes服务以及端点和八卦的对等发现以在集群中传播对等更改。
先决条件:
 保管箱应为0.6.3及以上。
 您必须使用Kubernetes 1.6.0及更高版本,因为我们依靠init容器(处于beta中)来接受令牌。
 对于Kubernetes 1.5.x及更低版本,请通过参考使用旧版本的Kubernetes-Vault。
 您必须使用正确的策略生成定期令牌,才能使用AppRole后端生成secret_id 。
 Kubernetes-Vault控制器使用Kubernetes服务帐户来监视新的Pod。 该服务帐户必须具

			
		

	





	

		

			

				
					
Kubernetes 上部署 Secret 加密系统 Vault

				
			

			

				

					CSDN云计算
				

				

					05-20
					
					802
					
				

			

		

		

			
				
作者 | 小碗汤来源 | 进击云原生HashiCorp Vault 是一个基于身份的 Secret 和加密管理系统。Secret 是您想要严格控制访问的内容,例如 API 加密密钥、密码或证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。目前...

			
		

	





	

		

			

				
					
网络安全最新164道网络安全工程师面试题(附答案)_数据安全面试题(1),2024年最新面试阿里

				
			

			

				

					2401_84301389的博客
				

				

					05-09
					
					448
					
				

			

		

		

			
				
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。

			
		

	





	

		

			

				
					
K8S使用helm部署vault集群

				
			

			

				

					ma_qi_chao的博客
				

				

					12-22
					
					1665
					
				

			

		

		

			
				
备注:为什么要进行vault初始化,如果不初始化,vault服务pod的READY会一直处于0/1状态,只有把vault的pod进行初始化生成初始token服务才会正常启动运行。备注:安装mysql只是测试vault加密的数据能否测试登录mysql,并不是把mysql作为vault数据库存储使用。以上完成了vault部署到测试的全部流程。

			
		

	





	

		

			

				
					
Kubernetes之scert-manager证书控制器(证书自动颁发)

				
			

			

				

					weixin_43357497的博客
				

				

					12-14
					
					1190
					
				

			

		

		

			
				
cert-manager证书控制器
cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。
它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。
部署证书管理器后,您必须配置Issuer或ClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南。

注意:从cert-managerv0.14.0开始,Kubern

			
		

	





	

		

			

				
					
K8s cert-manager配置PKCS12的TLS

				
			

			

				

					Duktig的博客
				

				

					08-25
					
					1149
					
				

			

		

		

			
				
K8s cert-manager配置PKCS12的TLS,实现自动化配置的方案。

			
		

	





	

		

			

				
					
Istio(Envoy)+ Cert-Manager +Let's Encrypt for TLS

				
			

			

				

					殷龙飞的专栏
				

				

					06-20
					
					2282
					
				

			

		

		

			
				
Istio(Envoy)+ Cert-Manager +Let’s Encrypt for TLS



更新

感谢 Laurent Demailly 的评论,这里有一些更新。这篇文章已经得到了更新:


现在有一个 Cert-Manager 官方 Helm 图表
Istio Ingress 也支持基于 HTTP/2 的 GRPC




Istio

Istio 是管理微服务世界中数据流的新方...

			
		

	





	

		

			

				
					

                                vault-使用kubernetes作为认证后端
    

				
			

			

				

					weixin_34413357的博客
				

				

					12-17
					
					440
					
				

			

		

		

			
				
vault使用kubernetes认证
配置
vault可以使用kubernetes的serviceaccount进 行认证
#在kubernetesvault创建serviceaccount账号,用于调用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secre...

			
		

	





	

		

			

				
					
执行kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml时报错:Unable to connect to the server: x509: certificate signed by unknown authority应该怎么处理

				
			

			

				

					06-07
				

			

		

		

			
				
3. 将第 2 步中获取到的 CA 证书内容添加到第 1 步中下载的证书中:`cat cert-manager.crds.yaml | sed "s/caBundle:.*$/caBundle: $(cat ca.crt | base64 | tr -d '\n')/g" > cert-manager.crds-with-ca.yaml` ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值