像Kubernetes和OpenShift这样的容器化编排平台仍然面临着暴露于敌对威胁行为者的风险。 公钥基础设施(PKI)在保持Kubernetes工作负载安全方面起着至关重要的作用,以维护可靠的通信、验证组件身份和加密传输中的数据。
什么是Kubernetes和cert-manager?
Kubernetes是最大的容器编排工具,可以自动化容器管理的运维任务,同时管理和扩展软件应用程序开发。Kubernetes(也称为K8s)最初由谷歌创建,由云原生计算基金会(CNCF)维护。
cert-manager是一个原生的云X.509证书管理工具,专门设计用于保护Kubernetes和OpenShift工作负载。cert-manager是一个强大的工具,每天有超过500万的下载量和超过8000的Slack成员,它可以方便地从不同的颁发者检索公共和私有信任证书,以保护Kubernetes集群中的应用程序。
为什么Kubernetes需要安全保护?
Kubernetes集群中有许多服务需要使用SSL/TLS证书来确保通信、加密和身份验证的安全。这些包括pods之间的通信,Kubelet身份验证,入口安全,节点和Kube API,或集群内的服务网格(如Istio)。
公共信任SSL/TLS对于维护数据的机密性和应用程序开发的完整性至关重要,因为它们在集群内以及与外部实体一起工作时都建立了一个可信的通信环境。这使得集群可以安全地集成到生产环境中。
X.509证书部署允许以下内容:
- 安全通信和加密,以建立多个服务之间的信任
- 在生产环境中防止非法访问或中间人攻击
- 在Kubernetes基础设施中启用可信通信
- 加密节点、pods和服务之间的通信
- 安全客户端和内部web服务器
GlobalSign用于管理Kubernetes环境中的安全
GlobalSign的cert-manager Issuer颁发者使开发人员能够获得GlobalSign的受信任SSL/TLS证书,以确保Kubernetes集群的安全。该颁发者是GlobalSign数字身份平台Atlas的集成,Atlas用于根据请求为Kubernetes集群颁发可信SSL/TLS证书。它可以用于保护各种Kubernetes用例:
- 使用SSL / TLS证书保护入口
- 使用服务器证书保护Kubelet和Kube API服务器之间的通信
- 使用客户端证书验证Kubelet到API服务器
- 确保舱间通信
- 保护内部web和客户端服务器
安全的5步
使用GlobalSign的Atlas Issuer for cert-manager只需要五个简单的步骤就可以保护你的Kubernetes工作负载:
- 从GitHub仓库下载并安装GlobalSign的Atlas颁发者cert-manager
- 从GlobalSign的Atlas门户获取API凭据
- 使用GlobalSign颁发的API凭据创建颁发者资源
- 一旦配置好了颁发者资源,为你的Kubernetes资源创建一个证书签名请求(CSR)
- 一经批准,Atlas将发布证书
为Kubernetes工作负载内置安全性
我们的Atlas cert-manager颁发者使开发人员能够使用受信任的SSL/TLS证书保护各种用例,这样他们就可以专注于应用程序开发。可以从我们的GitHub仓库下载和安装。
了解更多:
下载数据表