Udostępnij przez

Używanie niestandardowych autorytetów certyfikacji (CA) w Azure Kubernetes Service (AKS)

Niestandardowy urząd certyfikacji (CA) umożliwia dodanie maksymalnie 10 certyfikatów zakodowanych w formacie base64 do magazynu zaufania węzła. Ta funkcja jest często potrzebna, gdy urzędy certyfikacji muszą być obecne w węźle, na przykład podczas nawiązywania połączenia z rejestrem prywatnym.

W tym artykule pokazano, jak tworzyć niestandardowe centra certyfikacji i stosować je na klastrach AKS.

Note

Funkcja Custom CA dodaje niestandardowe certyfikaty do magazynu zaufania węzła usługi AKS. Certyfikaty dodane za pomocą tej funkcji nie są dostępne dla kontenerów działających w ramach zasobników. Jeśli potrzebujesz certyfikatów wewnątrz kontenerów, musisz dodać je oddzielnie, dodając je do obrazu używanego przez kontenery lub w trakcie działania za pomocą skryptów i sekreta.

Prerequisites

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, utwórz bezpłatne konto.
  • Interfejs wiersza polecenia platformy Azure w wersji 2.72.0 lub nowszej został zainstalowany i skonfigurowany. Aby znaleźć wersję interfejsu wiersza polecenia, uruchom polecenie az --version. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
  • Ciąg certyfikatu zakodowany w formacie base64 lub plik tekstowy z certyfikatem.

Limitations

  • Nie są obsługiwane grupy węzłów Windows.
  • Instalowanie różnych CA w tym samym klastrze nie jest wspierane.

Tworzenie pliku certyfikatu

  • Utwórz plik tekstowy zawierający maksymalnie 10 pustych certyfikatów rozdzielonych wierszami. Po przekazaniu tego pliku do klastra certyfikaty są instalowane w magazynach zaufania węzła usługi AKS.

    Przykładowy plik tekstowy:

        -----BEGIN CERTIFICATE-----
    cert1
    -----END CERTIFICATE-----

    -----BEGIN CERTIFICATE-----
    cert2
    -----END CERTIFICATE-----

Przed przejściem do następnego kroku upewnij się, że w pliku tekstowym nie ma pustych spacji, aby uniknąć błędów.

Przekaż niestandardowe autorytety certyfikacyjne do klastra AKS

  • Przekaż certyfikaty do klastra przy użyciu az aks create polecenia lub az aks update z --custom-ca-trust-certificates ustawioną nazwą pliku certyfikatu.

    # Create a new cluster
az aks create \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --node-count 2 \
    --custom-ca-trust-certificates <path-to-certificate-file> \
    --generate-ssh-keys

# Update an existing cluster
az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --custom-ca-trust-certificates <path-to-certificate-file>

    Note

    Ta operacja wyzwala aktualizację modelu, aby upewnić się, że wszystkie istniejące węzły mają zainstalowane te same certyfikaty urzędów certyfikacji w celu poprawnego zarządzania zasobami. Usługa AKS tworzy nowe węzły, opróżnia istniejące węzły, usuwa je i zastępuje węzłami z nowym zestawem certyfikatów autoryzacji.

Zweryfikuj, czy urzędy certyfikacji są zainstalowane

  • Sprawdź, czy urzędy certyfikacji są zainstalowane, używając polecenia az aks show.

    az aks show --resource-group <resource-group-name> --name <cluster-name> | grep securityProfile -A 4

    W danych wyjściowych sekcja securityProfile powinna zawierać Twoje niestandardowe certyfikaty urzędu certyfikacji. Przykład:

      "securityProfile": {
    "azureKeyVaultKms": null,
    "customCaTrustCertificates": [
        "values"

Rozwiązywanie niestandardowych błędów formatowania urzędu certyfikacji

Dodanie certyfikatów do klastra może spowodować błąd, jeśli plik z certyfikatami nie jest poprawnie sformatowany. Może zostać wyświetlony błąd podobny do następującego przykładu:

failed to decode one of SecurityProfile.CustomCATrustCertificates to PEM after base64 decoding

Jeśli wystąpi ten błąd, sprawdź, czy plik wejściowy nie zawiera dodatkowych nowych wierszy, białych spacji ani danych innych niż poprawnie sformatowane certyfikaty, jak pokazano w przykładowym pliku.

Rozwiązywanie błędów niestandardowego certyfikatu X.509, podpisanego przez nieznany urząd certyfikacji

Usługa AKS wymaga, aby certyfikaty zostały prawidłowo sformatowane i zakodowane w formacie base64. Upewnij się, że urzędy certyfikacji, które przekazałeś, są prawidłowo zakodowane w formacie base64 i że pliki z urzędami certyfikacji nie mają znaków końca linii CRLF.

Ponowne uruchamianie kontenera w celu pobrania nowych certyfikatów

Jeśli containerd nie pobiera nowych certyfikatów, uruchom polecenie systemctl restart containerd z powłoki węzła. Po ponownym uruchomieniu kontenera środowisko uruchomieniowe kontenera powinno pobrać nowe certyfikaty.

Treści powiązane

Aby uzyskać więcej informacji na temat najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń i uaktualnień klastra w usłudze Azure Kubernetes Service (AKS).

  • Last updated on