Kubernetes との統合 Certificate Manager
Cert-managerは、クラウドネイティブの Kubernetes 証明書管理コントローラーである。 Kubernetes と OpenShift® の上に構築され、 X.509 証明書と発行者をファーストクラスのリソースタイプとして提供し、さまざまな発行元からのTLS証明書の管理と配布を自動化する。
Cert-managerは定期的にステータスをチェックし、証明書の有効性を確認し、有効期限が切れる前に証明書を自動的に更新します。 これは、自動証明書管理環境(ACME)プロトコルをサポートする証明書発行者からの証明書の要求をサポートします。 これらの証明書は、一般的に、ほとんどのコンピュータでパブリックインターネット上で信頼されています。 証明書を正常に要求するには、クライアントが要求しているDNSアドレスを所有していることを証明するために、cert-manager がACMEチャレンジを解決する必要があります。
この統合により、 IBM® NS1 Connect® プラットフォームのあらゆるドメインまたはサブドメインに SSL/TLS 証明書を簡単に適用し、管理することができます。 証明書は、身元確認、データの暗号化、エンドユーザーへの安全な接続の確保に重要です。
仕組み
実装時には、アプリケーションをイングレス経由で公開し、cert-managerツールを使用して使用する認証局(CA)を指定します。 cert-managerウェブフックは NS1 Connect に接続し、DNSの検証を可能にする。 検証の間、 NS1 Connect にTXTレコードが作成され、 NS1 Connect がドメインの権威であることを確認するために、CAから問い合わせが行われる。 検証が完了すると、CAはドメインに証明書を発行し、その後、cert-managerで管理されます。
リソース
以下の用語と定義は、こちらで使用されているものに基づいています。
- cert-manager
- 認証局を設定し、証明書を要求する、 Kubernetes クラスタ内で実行される一連のデプロイ リソース。
- ウェブフックコンポーネント
- 発行者、クラスタ発行者、および証明書リソースが有効であることを検証するために使用される、cert-manager コントローラと一緒にデプロイされる Kubernetes リソース。 NS1 Connect 用の Webhook ソルバーは、ACME DNS01 の課題を解決するために cert-manager とともに使用される。
- Helm グラフ
- Helm チャートはネイティブ、ファイルのコレクションを通して リソースのセットを記述します。 Kubernetes Kubernetes NS1 Connect webhook for cert-manager Helm 、cert-managerのインストールに使用される。
- クラスターイシュー
- Kubernetes 証明書署名要求に応じることで署名付き証明書を生成できる認証局(CA)を表すリソース。
- 申請/侵入
- Kubernetes マニフェストファイルにはアプリを記述し、イングレス、デプロイメント、サービスを含める必要がある。 トラフィックを入口に転送するには、DNSレコードを設定する必要があることに注意してください。
- 外部DNS
- Kubernetes 、パブリックDNS経由でリソースを検出できるようにクラスタに配置および設定する。
実装手順
統合のインストールと設定方法については、 NS1 Connect GitHub リポジトリで公開されている README.md ドキュメントを参照してください。
- リソースのマニフェストを作成する(上記)。
- Helm からcert-managerを起動する。
- クラスタ発行者リソースを作成します。
- アプリをイングレスとともに起動します。 アプリのドメインに、イングレスの外部IPに紐づいたDNSレコードがあることを確認してください。
- 証明書リソースを作成します。 ドメインを管理していることを証明するためにDNS検証が行われ、そのドメインの下に特定の値を持つTXTレコードが作成されます。 認証局は、そのレコードについてDNSシステムに照会を行い、一致するレコードが見つかれば証明書を発行します。