问题:
我正在基于TykTechnologies/tyk-kubernetes存储库配置Tyk网关和仪表板:
现在,我希望使用TLS证书来保护Gateway K8和Dashboard K8s服务。
我已经购买了如下证书来保护外部URL(https://api.example.com
和https://dashboard.example.com
),但是该证书对于内部k8s服务端点无效,因此仪表板和网关无法再内部讲话:
$ kubectl logs deployment/tyk-dashboard
...
time="Jan 01 00:00:00" level=error msg="Request failed with error Get https://tyk-dashboard.tyk.svc.cluster.local:443/register/node: x509: certificate is valid for *.example.com, not tyk-dashboard.tyk.svc.cluster.local; retrying in 5s"
到目前为止,我所做的是:
修改了
tyk.conf
和tyk_analytics.conf
以更改侦听端口并引用证书:{
"listen_port": 443,
"notifications_listen_port": 5000,
"tyk_api_config": {
"Host": "https://tyk-gateway.tyk.svc.cluster.local",
"Port": "443",
...
"http_server_options": {
"use_ssl": true,
"server_name": "api.example.com",
"min_version": 771,
"certificates": [
{
"domain_name": "*.example.com",
"cert_file": "/etc/ssl/gateway-tls/tls.crt",
"key_file": "/etc/ssl/gateway-tls/tls.key"
}
]
},
...
我正在通过K8s TLS秘密将证书安装在tyk吊舱中(对于仪表板也是如此):
kubectl create secret tls tyk-gateway --cert=example.com.crt --key=example.com.key
以及相应的K8s部署更新:
...
ports:
- containerPort: 443
- containerPort: 5000
volumeMounts:
...
- name: tyk-gateway-tls
readOnly: true
mountPath: "/etc/ssl/gateway-tls"
volumes:
...
- name: tyk-gateway-tls
secret:
secretName: tyk-gateway
最佳答案
我正在考虑的可能解决方案是使用certificates.k8s.io
API为由K8s群集的CA签名的服务的内部DNS名称(tyk-gateway.tyk.svc.cluster.local
)生成有效证书,如Kubernetes documentation here中所述。
然后可以将此证书添加到http_server_options
配置中,并绑定到服务主机名。
但是,该示例似乎表明我需要在CSR中将服务和Pod IP作为SAN包括在内。我认为将Pod重新安排为其他IP地址后,该设置无效。
通过运行以下命令来生成私钥和证书签名请求(或CSR):
cat <<EOF | cfssl genkey - | cfssljson -bare server
{
"hosts": [
"my-svc.my-namespace.svc.cluster.local",
"my-pod.my-namespace.pod.cluster.local",
"172.168.0.24",
"10.0.34.2"
],
"CN": "my-pod.my-namespace.pod.cluster.local",
"key": {
"algo": "ecdsa",
"size": 256
}
}
EOF
其中172.168.0.24是服务的群集IP,my-svc.my-namespace.svc.cluster.local是服务的DNS名称,10.0.34.2是pod的IP,而my-pod.my-namespace.pod.cluster.local是Pod的DNS名称。