EKS 中的证书签名

0

【以下的问题经过翻译处理】 客户需要在 Kubernetes 中为其扩展生成 X509 证书(验证/变异/转换 webhook)。 标准方式 是通过CertificateSigningRequest来实现此目的,但 EKS [没有](https:// docs.aws.amazon.com/eks/latest/userguide/platform-versions.html#platform-versions-1.19) 安装 CertificateSigning admission controller,因此 CSR 无法被签名。

有没有一种方法可以在EKS上启用CertificateSigning admission controller,或者有没有其他最佳实践来为EKS集群内部使用(即kube-apiserver <->自定义开发的Web钩子)生成和更新X509证书?

profile picture
EXPERTE
gefragt vor 6 Monaten94 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 我遇到过类似的问题。Admission controllers(变异/验证)和 kube-apiserver 仅通过 HTTPS 进行通信。Admission controllers需要 TLS 证书。

对于这个问题,我有几个解决方案,虽然它们不是EKS的原生解决方案,但您可以使用开源解决方案。

1.使用Cert-manager(Kubernetes的X.509证书管理); cert-manager 是一个可以运行在 EKS 上的证书管理控制器。 cert-manager可以从Let's Encrypt、HashiCorp Vault、Venafi、简单的签名密钥对或自签名证书颁发证书。其中的一个重要优点是它可以确保证书的有效性和最新性,并在到期前的配置时间尝试续订证书。 2. 这个场景也可以使用开源工具k8s-webhook-cert-manager,链接: https://github.com/newrelic/k8s-webhook-cert-manager> 3. 另一个基于上述工具的开源工具也可使用,名为k8s-webhook-certificator,链接: https://github.com/Trendyol/k8s-webhook-certificator

我建议在 EKS 上使用 cert-manager,这是一个 CNCF 项目。如果不使用cert-manager,还可以考虑其他两个工具。

profile picture
EXPERTE
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen