Megosztás a következőn keresztül:

Az Azure Arc által engedélyezett AKS-tanúsítványkezelés áttekintése

  • Cikk

A következőkre vonatkozik: AKS az Azure Local 22H2-n, AKS Windows Serveren

Az Azure Arc által engedélyezett AKS tanúsítvány- és jogkivonatalapú hitelesítés kombinációjával biztosítja a platformon belüli különböző műveletekért felelős szolgáltatások (vagy ügynökök) közötti kommunikációt. A tanúsítványalapú hitelesítés digitális tanúsítvány használatával azonosít egy entitást (ügynököt, gépet, felhasználót vagy eszközt), mielőtt hozzáférést ad egy erőforráshoz.

Felhőügynök

Az Arc által engedélyezett AKS telepítésekor az AKS olyan ügynököket telepít, amelyek a fürt különböző funkcióinak végrehajtására szolgálnak. Ezek az ügynökök a következők:

  • Felhőügynök: a mögöttes platform vezényléséért felelős szolgáltatás.
  • Csomópontügynök: minden csomóponton található szolgáltatás, amely elvégzi a virtuális gépek létrehozásának, törlésének stb. tényleges munkáját.
  • Key Management System (KMS) pod: a kulcskezelésért felelős szolgáltatás.
  • Egyéb szolgáltatások: felhőszolgáltató, tanúsítványkezelő stb.

Az AKS felhőügynök-szolgáltatása felelős a fürtben található infrastruktúra-összetevők , például virtuális gépek (VM-ek), virtuális hálózati adapterek és virtuális hálózatok (VNET-ek) létrehozási, olvasási, frissítési és törlési (CRUD) műveleteinek vezényléséért.

A felhőügynökkel való kommunikációhoz az ügyfelek tanúsítványokat igényelnek a kommunikáció biztonságossá tételéhez. Minden ügyfélhez egy identitást kell társítani, amely meghatározza az ügyfélhez társított szerepköralapú hozzáférés-vezérlési (RBAC) szabályokat. Mindegyik identitás két entitásból áll:

  • A kezdeti hitelesítéshez használt jogkivonat, amely egy tanúsítványt ad vissza, és
  • A fenti bejelentkezési folyamatból beszerzett és bármely kommunikációban hitelesítésre használt tanúsítvány.

Minden entitás érvényes egy adott időszakra (az alapértelmezett érték 90 nap), amelynek végén lejár. A felhőügynökhöz való folyamatos hozzáféréshez minden ügyfélnek meg kell újítania a tanúsítványt, és el kell forgatnia a jogkivonatot.

Tanúsítványtípusok

Az Arc által engedélyezett AKS-ben kétféle tanúsítvány használható:

  • Felhőügynök hitelesítésszolgáltatói tanúsítványa: az ügyféltanúsítványok aláírásához/érvényesítéséhez használt tanúsítvány. Ez a tanúsítvány 365 napig (1 évig) érvényes.
  • Ügyféltanúsítványok: a felhőügynök hitelesítésszolgáltatói tanúsítványa által kibocsátott tanúsítványok, amelyeket az ügyfelek a felhőügynökön való hitelesítéshez bocsátanak ki. Ezek a tanúsítványok általában 90 napig érvényesek.

A Microsoft azt javasolja, hogy az új kiadástól számított 60 napon belül frissítse a fürtöket, ne csak azért, hogy a belső tanúsítványok és jogkivonatok naprakészek legyenek, hanem annak érdekében is, hogy hozzáférjen az új funkciókhoz, hibajavításokhoz, és naprakész maradjon a kritikus biztonsági javításokkal. A havi frissítések során a frissítési folyamat elforgatja azokat a jogkivonatokat, amelyeket a fürt normál működése során nem lehet automatikusan elforgatni. A tanúsítvány és a jogkivonat érvényessége a fürt frissítésétől számított alapértelmezett 90 napra módosul.

Biztonságos kommunikáció tanúsítványokkal az Arc által engedélyezett AKS-ben

A tanúsítványok a fürtön belüli összetevők közötti biztonságos kommunikáció kiépítésére szolgálnak. Az AKS a beépített Kubernetes-összetevők tanúsítványainak érintésmentes, házon kívüli kiépítését és felügyeletét biztosítja. Ebben a cikkben megtudhatja, hogyan építhet ki és kezelhet tanúsítványokat az Arc által engedélyezett AKS-ben.

Tanúsítványok és hitelesítésszolgáltatók

Az AKS a következő hitelesítésszolgáltatókat és tanúsítványokat hozza létre és használja.

Fürt hitelesítésszolgáltatója

  • Az API-kiszolgáló rendelkezik egy fürt hitelesítésszolgáltatóval, amely tanúsítványokat ír alá az API-kiszolgáló és a kiszolgáló közötti egyirányú kommunikációhoz kubelet.
  • Mindegyik kubelet létrehoz egy tanúsítvány-aláírási kérelmet (CSR), amelyet a fürt hitelesítésszolgáltatója ír alá az kubelet API-kiszolgálóval való kommunikációhoz.
  • Az etcd kulcs értéktárolója rendelkezik egy tanúsítványsal, amelyet a fürt hitelesítésszolgáltatója írt alá az ETCD és az API-kiszolgáló közötti kommunikációhoz.

etcd CA

Az etcd kulcs értéktárolója rendelkezik egy etcd hitelesítésszolgáltatóval, amely tanúsítványokat ír alá a fürt etcd replikái közötti adatreplikálás hitelesítéséhez és engedélyezéséhez.

Előtérproxy hitelesítésszolgáltatója

Az előtérbeli proxy hitelesítésszolgáltatója biztosítja az API-kiszolgáló és a bővítmény API-kiszolgáló közötti kommunikációt.

Tanúsítványkiépítés

A tanúsítványkiosztás TLS-rendszerindítással kubelettörténik. Minden más tanúsítványhoz használjon YAML-alapú kulcsot és tanúsítványlétrehozás.

  • A tanúsítványok tárolása a /etc/kubernetes/pki helyen történik.
  • A kulcsok rsA 4096, EcdsaCurve: P384

Feljegyzés

A főtanúsítványok 10 évig érvényesek. Minden más, nem főtanúsítvány rövid élettartamú és négy napig érvényes.

Tanúsítványmegújítás és -kezelés

A nem főtanúsítványok automatikusan megújulnak. A Kubernetes összes vezérlősík-tanúsítványa a következő tanúsítványok kivételével kezelhető:

  • Kubelet-kiszolgáló tanúsítványa
  • Kubeconfig ügyféltanúsítvány

Ajánlott biztonsági eljárásként az Active Directory egyszeri bejelentkezését kell használnia a felhasználói hitelesítéshez.

Tanúsítvány visszavonása

A tanúsítvány visszavonásának ritkának kell lennie, és a tanúsítvány megújításakor kell elvégezni.

Miután megkapta a visszavonni kívánt tanúsítvány sorozatszámát, használja a Kubernetes egyéni erőforrását a visszavonási adatok meghatározásához és megőrzéséhez. Minden visszavonási objektum egy vagy több visszavonási bejegyzésből állhat.

A visszavonás végrehajtásához használja az alábbiak egyikét:

  • Sorszám
  • Csoport
  • DNS-név
  • IP-cím

Megadható notBefore egy idő, amely csak az adott időbélyeg előtt kiadott tanúsítványok visszavonására vonatkozik. notBefore Ha nincs megadva időpont, a visszavonásnak megfelelő összes meglévő és jövőbeli tanúsítványt visszavonjuk.

Feljegyzés

A kiszolgálótanúsítványok kubelet visszavonása jelenleg nem érhető el.

Ha a visszavonáskor sorozatszámot használ, az Repair-AksHciClusterCerts alább ismertetett PowerShell-paranccsal működő állapotba állíthatja a fürtöt. Ha a korábban felsorolt egyéb mezők bármelyikét használja, adjon meg egy időpontot notBefore .

apiVersion: certificates.microsoft.com/v1 
kind: RenewRevocation 
metadata: 
  name: my-renew-revocation 
  namespace: kube-system 
spec: 
  description: My list of renew revocations 
  revocations: 
  - description: Revoked certificates by serial number 
    kind: serialnumber 
    notBefore: "2020-04-17T17:22:05Z" 
    serialNumber: 77fdf4b1033b387aaace6ce1c18710c2 
  - description: Revoked certificates by group 
    group: system:nodes 
    kind: Group 
  - description: Revoked certificates by DNS 
    dns: kubernetes.default.svc. 
    kind: DNS 
  - description: Revoked certificates by DNS Suffix 
    dns: .cluster.local 
    kind: DNS 
  - description: Revoked certificates by IP 
    ip: 170.63.128.124 
    kind: IP

Következő lépések