两个server 两个数据库 微服务_如何为K8S微服务建立一个到数据库的SSL链接

最新推荐文章于 2024-07-11 08:43:00 发布
最新推荐文章于 2024-07-11 08:43:00 发布
阅读量229 收藏
点赞数
文章标签: 两个server 两个数据库 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39956110/article/details/111557391
版权
本文介绍了如何为K8S微服务设置到数据库的SSL连接,特别是实现单向验证(Server Authentication)。首先,从数据库服务器获取CA证书并创建truststore.jks。然后,在K8S中,通过secret和volume将truststore部署到微服务,并利用Vault管理truststore密码。最后,通过Spring Boot应用配置连接参数,实现加密连接。
摘要由CSDN通过智能技术生成

在微服务之间, 人们通常会使用https进行加密通讯。 在数据库和微服务之间, 越来越多的公司也开始要求使用SSL来进行加密通讯,即便数据库和微服务其实是在同一个内网当中。 到数据库的加密连接, 通常也分为单向验证(通常也叫做Server Authentication)和双向验证(Two-way Authentication, 包括了Server Authentication和Client Authentication)(https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-reference-using-ssl.html), 这一点上和https的连接是类似的。在下面的介绍中讲将介绍如何一步步为k8s的微服务建立到数据库的实现了Server Authentication的SSL连接。

通常要建立单向的SSL认证, 客户端需要配置一个trust store, 然后在trust store中存放能够验证数据库服务器的CA证书。 客户端还需要保存对应这个trust store的密钥, 才能够打开truststore,读取到CA证书。

通过下面的命令我们先为微服务程序创建好truststore和对应的password, 首先从对应的数据库服务器上去下载对应的ca证书。 如果是mysql 的服务器, 可以通过以下的命令来获得ca证书在服务器上存放的位置。

show varaibles like '%ssl%'

你应该会看到下面的输出:

下载对应的ca.pem证书到本机, 运行下面的命令生成一个truststore.jks, 并且记下对应的password。

keytool -import -alias dbServerCACert -file ca.pem -keystore truststore.jks

那么在K8s的微服务中, 如何读取到这个truststore.jks. K8s里面提供了两个重要的概念, 一个是secret,secret通常用来存放敏感数据, 并且支持二进制格式, 正好用来存放trustore.jks文件。 一个是volume(存储卷)可以认为是容器内存放持久化内容的地方。 我们可以1) 把truststore.jks转成一个secret, 部署到微服务所在的cluster;2) 然后为这个secret建立一个Volume; 3) 通过把这个Volume加载到对应的微服务的容器。 微服务就可以读取到这个truststore的文件了。

创建secret:

kubectl create secret generic db-truststore-secret --from-file=./truststore.jks

在service对应的deployment文件中创建volumn:

- name:dbtruststoresecret:secretName:db-truststore-secretdefaultMode:420

在deployment文件中把volumn加载到对应的container中:

volumeMounts:- name:dbtruststoremountPath:/etc/truststores

这样在微服务启动之后, 它在自己的/etc/truststores文件目录下就能够发现truststore.jks文件。

接下来就是如何存储truststore.jks的密钥了。 在现在的程序里面越来越多的通过Vault(https://www.vaultproject.io/)来管理密钥。Vault Server提供了api, 用户可以通过api来将密钥存放在指定的目录下。Vault

Manage Secrets and Protect Sensitive Data

Secure, store and tightly control access to tokens, passwords, certificates, encryption keys for protecting secrets and other sensitive data using a UI, CLI, or HTTP API.

通过以下的命令, 我们把我们的truststore的密码存入到了vault当中。这里省略了如何获取vault-token, 有兴趣的小朋友可以自行查阅vault的文档。

curl --tlsv1.2 -ksSlL --header "X-Vault-Token:" --request PUT -d '{"db.trustCertificateKeyStorePassword":"XXXX"}' https:///v1/secret/private//

好了, 密码也存放好了, truststore.jks现在也已经可以在微服务容器内部访问到了。 最后的一步就是如何从应用程序访问到它们。如果你是一个spring boot的应用程序, 那么我们很容易和vault整合再一起, 只需要在spring boot的bootstrap.yml中配置好vault server的地址,以及在你的build.gradle里面加上对spring-cloud-vault的依赖。

spring:profiles:xxxcloud:vault:enabled:trueuri:authentication:TOKENtoken:generic:backend:secret/private/application-name:config:lifecycle:lease-endpoints:sysleasesenabled:false

这样在springboot启动的时候就会自动到vault server指定的地址里面去加载密钥, 然后我们可以在application.properties里面引用db.trustCertificateKeyStorePassword的值了。

spring.datasource.url=jdbc:mysql://:3306/?serverTimezone=UTC&sslMode=VERIFY_CA&trustCertificateKeyStoreUrl=file:/etc/truststores/truststore.jks&trustCertificateKeyStorePassword=${db.trustCertificateKeyStorePassword}

至此,所有的配置完工, 启动你的spring boot的应用程序, 现在从容器到数据库之间的连接就是加密保护的了。

weixin_39956110
关注
Kubernetes 运维工程师必备:K8s 基础面试题精编(二)
jks212454的博客
07-10 312
Kubernetes 运维工程师必备:K8s 基础面试题精编(二)
2017微服务 mysql集群_【k8s微服务实战(四)】安装mysql集群
weixin_29337389的博客
01-19 126
目标安装3个副本的mysql集群,数据存储在ceph集群中环境kubernetes集群master 10.115.223.121node1 10.115.223.122node2 10.115.223.123ceph集群monitorkvm-ceph1 10.115.223.201kvm-ceph2 10.115.223.202kvm-ceph3 10.115.223.203...
K8S-部署Spring Boot+Mysql
Nanan_an的博客
11-26 414
Harbor 私有云Spring Boot项目k8s (三个node,其中一个用来整Harbor)Docker。
k8s+springboot+redis部署配置连接
xiaogg3678的专栏
06-13 625
k8s+springboot+redis部署配置连接
Kubernetes部署SpringBoot连接外部数据库使用svc模式
ciqingloveless的博客
09-06 4556
这篇文章主要讲解Kubernetes部署SpringBoot的过程,其中主要的难点是用svc名称动态获取数据库IP。网上有一部分文档有说,但是不进行讲解,我在最初部署的时候测试不成功,后来发现主要是Kubernetes内部dns配置的问题。以下文章都是基于centos7二进制安装kubernetes1.12添加证书配置这篇文章搭建的kubernetes的基础上完成的,其中比较重要的是coredns...
springboot配置ssl
weixin_52831324的博客
02-23 2396
第七步,在application.yml配置ssl,key-store就是pfx文件的路径,注意在前面添加一个classpath。key-store-password就是下载中的pfx-password.txt文件中的一串密码。第四步,下载tomcat的证书,因为springboot是建立与tomcat服务器的。第五步,下载成功后,会有两个文件,一个是配置文件,一个配置文件的密码。第八步,在对应的服务器启动jar包,就可以进行https访问了。第二步,找到SSL证书中的,免费证书。第三步,点击证书的下载。
Java程序员14个K8S必备基础概念,你知道哪些,建议收藏
程序员干货站
05-26 744
微服务、云计算和无服务架构时代,理解Kubernetes并且知道如何使用它是十分有用的。然而,官方的Kubernetes文档对于刚开始接触云计算的用户来说有些难以理解。在本文中,我们将了解在Kubernetes中的重要概念。在之后的系列文章中,我们还将了解如何写配置文件、使用Helm作为软件包管理器、创建一个云基础架构、使用Kubernetes轻松编排服务并且创建一个CI/CD流水线来自动化整个工作流。有了这些信息,你可以启动任意种类的项目,并且创建一个强大的基础架构。 首先,我们知道使用容器有多种好处,
K8S笔记:基于K8S的Java构建与部署环境
arksea的专栏
07-20 1800
目录 文章目录目录安装Docker1、安装2、修改Cgroup驱动3、修改docker默认网桥docker0网段4、创建运行容器的用户安装测试用docker仓库错误处理: http: server gave HTTP response to HTTPS client创建部署映像1、映像 tq/centos-temp2、 映像 tq/jdk:83、映像 tq/gradle:64、用映像 'tq/gradle:6' 编译项目5、Java App 映像6、用docker运行Java应用7、部署到Kubenetes
云原生之微服务架构设计与实现教程
最新发布
kkchenjj的博客
07-11 995
微服务架构是一种设计模式,它将单个应用程序开发为一组小型、独立的服务,每个服务运行在自己的进程中并使用轻量级机制(通常是HTTP资源API)进行通信。这些服务围绕业务功能构建,可以独立部署、扩展和维护。
Kubernetes(k8s)学习笔记-先导版——一看就会
可乐多点冰的博客
07-14 1368
文章目录1、基本概念1.1、k8s1.2、概念2、网络通信3、资源清单3.1、资源3.2、资源清单3.3、 Pod的声明周期3.4、 资源控制器3.4.1、Deployment3.4.2、DaemonSet3.4.3、job3.4.4、CronJob3.4.5、Service3.4.5、Headless Service3.4.6、Ingress4、存储4.1、ConfigMap4.2、Secret4.3、 Volume存储卷4.3.1、EmptyDir4.3.2、HostDir4.3.3、NFS4.4、PV
k8s+springboot+mysql8开启SSL连接
zjy9951的博客
03-24 1619
1.确保mysql开启并支持SSL mysql8以后默认开启SSL并生成证书。 #查询结果为YES show variables like 'have_ssl'; 如果没有开启可以使用自带的mysqld_ssl_rsa_setup工具,执行后重启mysql即可。 2.下载mysql的ca证书 #查看证书位置,从此位置下载ca.pem文件 show variables like 'datadir'; 3.转为jks文件供jdbc连接时使用 *keytool为jdk自带的工具 keytool.exe -im
k8s安装jenkins
weixin_42435798的博客
11-23 451
2.暴露端口访问。
k8s部署一个带有mysql应用_k8s部署springboot容器连接mysql容器
weixin_39742471的博客
01-19 877
前提准备:安装好Docker和Kubernetes,初学者的话可以部署单节点集群,即Docker for Mac/Windows,上一篇文章我已经写过如何搭建单节点集群。如果是多节点集群调度,则可以参考这篇文章。部署前提:先编写一个springboot的一个demo,没接触过springboot的同学可以参考这篇文章。我这边对springboot的demo做了小小的改动,我是和springboot...
SpringCloud微服务实战——搭建企业级开发框架(三十四):SpringCloud + Docker + k8s实现微服务集群打包部署-打包配置
全栈程序猿的专栏
12-24 2930
  SpringCloud微服务包含多个SpringBoot可运行的应用程序,在单应用程序下,版本发布时的打包部署还相对简单,当有多个应用程序的微服务发布部署时,原先的单应用程序部署方式就会显得复杂且不可控。那么我们就会思考使用简单的部署方式,解决自动化发布、自动化部署、微服务监控等问题。   我们使用目前行业通用的解决方案,Jenkins+GitLab+Maven+Docker+Kubernetes来实现可持续自动化部署微服务的功能。下面将从工程中Maven打包文件配置、Dockfile文件编写开始到Ku
我把SpringBoot应用部署到了K8S上,怎么感觉用起来像Docker!
macrozheng的专栏
01-28 1206
想要把一个复杂的微服务项目部署到K8S上去,首先我们得学会把单个SpringBoot应用部署上去。今天我们来讲下如何把SpringBoot应用部署到K8S上去,和使用Docker Com...
K8S集群系列三:部署自己写的SpringBoot程序
swpigris81的专栏
06-10 1195
在上一节K8S集群系列二:来个DEMO中,已经完成了简单DEMO的部署。DEMO中的镜像是拉取的公共镜像,这些镜像是别人写好上传至https://hub.docker.com上的。那么如何将本地写的代码发布镜像并部署在docker中呢?本节将介绍此方面内容。 鉴于一般自己写的本地代码不会发布到公共的仓库中,因此,我们首先建立自己的私有仓库。 1:创建私有仓库 下载registry镜像 [...
docker部署springboot连接mysql容器
Simlier的博客
07-20 2963
踩坑。。 注意:文件的路径问题,路径不对会导致构建失败,或者启动不了容器 注意:发布的代码连接字符串中引用通配符获取 javas 下的environment的属性获取值 构建mysql 首先编写mysql的Dockerfile文件 文件在docker/mysql/目录下 #docker容器中有的话就不用拉取 FROM MYSQL:5.7 #定义工作路径变量 ENV WORK_PATH /...
使用OpenSSL生成Kubernetes证书
知行合一 止于至善
04-06 6788
kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。 kubernetes构成 机器名 职能 host121 Kubernetes Master host122 Kubernetes Minion host123 Kubernetes Minion host12...
Docker $ 项目部署 :Docker 部署 SpringBoot + Mysql
个人博客
11-03 3028
一.Dockerfile常用指令 FROM 目的 指定基础镜像 特点 需要写在其他指令之前,之后的指令都依赖于该指令指定的镜像。 语法 FROM <image> FROM <image&
微服务架构实践:k8s运维与12因素应用
"通过k8s运维微服务系统的实践" 本文主要探讨了如何通过Kubernetes(k8s)来运维微服务系统,遵循12因素应用原则,并提供了具体的实践策略。微服务架构调整的关键点包括: 1. **代码与配置分离**:在微服务架构中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值