mTLS Everywhere: How to Configure TLS for APISIX
July 31, 2023
TLS باختصار
TLS توفر عدة إمكانيات:
- مصادقة الخادم: يتأكد العميل من أن الخادم الذي يتبادل البيانات معه هو الخادم الصحيح. هذا يمنع إرسال البيانات، التي قد تكون سرية، إلى جهة خاطئة.
- مصادقة العميل الاختيارية: بالعكس، يسمح الخادم فقط للعملاء الذين يمكن التحقق من هويتهم.
- السرية: لا يمكن لأي طرف ثالث قراءة البيانات المتبادلة بين العميل والخادم.
- التكامل: لا يمكن لأي طرف ثالث التلاعب بالبيانات.
يعمل TLS من خلال الشهادات. الشهادة تشبه بطاقة الهوية، تثبت هوية حامل الشهادة. تمامًا مثل بطاقة الهوية، يجب أن تثق في الجهة التي أصدرتها. يتم بناء الثقة من خلال سلسلة: إذا كنت أثق بـ "أليس"، التي تثق بـ "بوب"، الذي يثق بـ "تشارلي"، الذي أصدر الشهادة، فأنا أثق بهذه الشهادة. في هذا السيناريو، تُعرف "أليس" باسم سلطة الشهادات الجذرية.
تعتمد مصادقة TLS على تشفير المفتاح العام. تقوم "أليس" بإنشاء زوج من المفاتيح (مفتاح عام/مفتاح خاص) وتنشر المفتاح العام. إذا قام أحد بتشفير البيانات باستخدام المفتاح العام، فإن المفتاح الخاص الذي أنشأ المفتاح العام هو الوحيد الذي يمكنه فك التشفير. الاستخدام الآخر هو تشفير البيانات باستخدام المفتاح الخاص، ويمكن لأي شخص لديه المفتاح العام فك التشفير، مما يثبت هويته.
أخيرًا، TLS المتبادل، المعروف أيضًا باسم mTLS، هو تكوين TLS ثنائي الاتجاه: مصادقة الخادم للعميل كالمعتاد، ولكن أيضًا مصادقة العميل للخادم.
لدينا الآن فهم كافٍ للمفاهيم لنبدأ في التطبيق العملي.
إنشاء الشهادات باستخدام cert-manager
يتم تثبيت عدد من سلطات الشهادات الجذرية في المتصفحات بشكل افتراضي. هذه هي الطريقة التي يمكننا من خلالها تصفح مواقع HTTPS بأمان، مع الثقة بأن https://apache.org هو الموقع الذي يدعي أنه كذلك. البنية التحتية لا تحتوي على شهادات مثبتة مسبقًا، لذا يجب أن نبدأ من الصفر.
نحتاج إلى شهادة جذر واحدة على الأقل. بدورها، ستقوم بإنشاء جميع الشهادات الأخرى. بينما يمكن القيام بكل شيء يدويًا، سأعتمد على cert-manager في Kubernetes. كما يوحي اسمه، cert-manager هو حل لإدارة الشهادات.
تثبيته باستخدام Helm بسيط:
helm repo add jetstack https://charts.jetstack.io #1 helm install \ cert-manager jetstack/cert-manager \ --namespace cert-manager \ #2 --create-namespace \ #2 --version v1.11.0 \ --set installCRDs=true \ --set prometheus.enabled=false #3
- إضافة مستودع Charts
- تثبيت الكائنات في مساحة اسم مخصصة
- عدم المراقبة، في نطاق هذا المنشور
يمكننا التأكد من أن كل شيء يعمل كما هو متوقع من خلال النظر إلى الـ pods:
kubectl get pods -n cert-manager
cert-manager-cainjector-7f694c4c58-fc9bk 1/1 Running 2 (2d1h ago) 7d cert-manager-cc4b776cf-8p2t8 1/1 Running 1 (2d1h ago) 7d cert-manager-webhook-7cd8c769bb-494tl 1/1 Running 1 (2d1h ago) 7d
يمكن لـ cert-manager توقيع الشهادات من مصادر متعددة: HashiCorp Vault، Let's Encrypt، إلخ. لتبسيط الأمور:
- سنقوم بإنشاء شهادة جذر مخصصة، أي
Self-Signed - لن نتعامل مع تدوير الشهادات
لنبدأ بما يلي:
apiVersion: cert-manager.io/v1 kind: ClusterIssuer #1 metadata: name: selfsigned-issuer spec: selfSigned: {} --- apiVersion: v1 kind: Namespace metadata: name: tls #2 --- apiVersion: cert-manager.io/v1 kind: Certificate #3 metadata: name: selfsigned-ca namespace: tls spec: isCA: true commonName: selfsigned-ca secretName: root-secret issuerRef: name: selfsigned-issuer kind: ClusterIssuer group: cert-manager.io --- apiVersion: cert-manager.io/v1 kind: Issuer #4 metadata: name: ca-issuer namespace: tls spec: ca: secretName: root-secret
- سلطة الشهادات التي تنشئ الشهادات على مستوى الكلستر
- إنشاء مساحة اسم لعرضنا التوضيحي
- شهادة جذر في مساحة اسم باستخدام المُصدر على مستوى الكلستر. تُستخدم فقط لإنشاء مُصدر في مساحة اسم
- مُصدر في مساحة اسم. يُستخدم لإنشاء جميع الشهادات الأخرى في هذا المنشور
بعد تطبيق البيان السابق، يجب أن نتمكن من رؤية الشهادة الوحيدة التي أنشأناها:
kubectl get certificate -n tls
NAME READY SECRET AGE selfsigned-ca True root-secret 7s
البنية التحتية للشهادات جاهزة؛ لنلقِ نظرة على Apache APISIX.
نظرة سريعة على عينة من بنية Apache APISIX
Apache APISIX هو بوابة API. بشكل افتراضي، يقوم بتخزين تكوينه في etcd، وهو مخزن قيم-مفاتيح موزع - نفس المخزن المستخدم من قبل Kubernetes. لاحظ أنه في سيناريوهات العالم الحقيقي، يجب علينا إعداد تجميع etcd لتحسين مرونة الحل. في هذا المنشور، سنقتصر على نسخة واحدة من etcd. يوفر Apache APISIX واجهة برمجة تطبيقات إدارية عبر نقاط نهاية HTTP. أخيرًا، تقوم البوابة بتوجيه المكالمات من العميل إلى upstream. إليك نظرة عامة على البنية والشهادات المطلوبة:
لنبدأ باللبنات الأساسية: etcd و Apache APISIX. نحتاج إلى شهادتين: واحدة لـ etcd، في دور الخادم، وواحدة لـ Apache APISIX، كعميل etcd.
لنقم بإعداد الشهادات من المُصدر في مساحة الاسم:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: etcd-server #1 namespace: tls spec: secretName: etcd-secret #2 isCA: false usages: - client auth #3 - server auth #3 dnsNames: - etcd #4 issuerRef: name: ca-issuer #5 kind: Issuer --- apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: apisix-client #6 namespace: tls spec: secretName: apisix-client-secret isCA: false usages: - client auth emailAddresses: - apisix@apache.org #7 issuerRef: name: ca-issuer #5 kind: Issuer
- شهادة لـ etcd
- اسم
Secretفي Kubernetes، انظر أدناه - استخدامات هذه الشهادة
- اسم
Serviceفي Kubernetes، انظر أدناه - الإشارة إلى المُصدر في مساحة الاسم الذي تم إنشاؤه مسبقًا
- شهادة لـ Apache APISIX كعميل لـ etcd
- سمة إلزامية للعملاء
بعد تطبيق البيان أعلاه، يمكننا سرد الشهادات في مساحة الاسم tls:
kubectl get certificates -n tls
NAME READY SECRET AGE selfsigned-ca True root-secret 8m59s //1 apisix-client True apisix-client-secret 8m22s //2 etcd-server True etcd-secret 8m54s //2
- الشهادة التي تم إنشاؤها مسبقًا
- الشهادات التي تم إنشاؤها حديثًا وتم توقيعها بواسطة
selfsigned-ca
شهادات cert-manager
حتى الآن، قمنا بإنشاء كائنات Certificate، ولكننا لم نشرح ما هي. في الواقع، هي ببساطة تعريفات موارد مخصصة (CRD) في Kubernetes مقدمة من cert-manager. تحت الغطاء، يقوم cert-manager بإنشاء Secret في Kubernetes من Certificate. يدير دورة الحياة الكاملة، لذا فإن حذف Certificate يحذف Secret المقيد. تحدد سمة secretName في البيان أعلاه اسم Secret.
kubectl get secrets -n tls
NAME TYPE DATA AGE apisix-client-secret kubernetes.io/tls 3 35m etcd-secret kubernetes.io/tls 3 35m root-secret kubernetes.io/tls 3 35m
لنلقِ نظرة على Secret، على سبيل المثال، apisix-client-secret:
kubectl describe apisix-client-secret -n tls
Name: apisix-client-secret Namespace: tls Labels: controller.cert-manager.io/fao=true Annotations: cert-manager.io/alt-names: cert-manager.io/certificate-name: apisix-client cert-manager.io/common-name: cert-manager.io/ip-sans: cert-manager.io/issuer-group: cert-manager.io/issuer-kind: Issuer cert-manager.io/issuer-name: ca-issuer cert-manager.io/uri-sans: Type: kubernetes.io/tls Data ==== ca.crt: 1099 bytes tls.crt: 1115 bytes tls.key: 1679 bytes
يوفر Secret الذي تم إنشاؤه بواسطة Certificate ثلاث سمات:
tls.crt: الشهادة نفسهاtls.key: المفتاح الخاصca.crt: شهادة التوقيع في سلسلة الشهادات، أيroot-secret/tls.crt
يقوم Kubernetes بتشفير محتوى Secret في base 64. للحصول على أي من المحتويات أعلاه كنص عادي، يجب فك تشفيره، على سبيل المثال:
kubectl get secret etcd-secret -n tls -o jsonpath='{ .data.tls\.crt }' | base64
-----BEGIN CERTIFICATE----- MIIDBjCCAe6gAwIBAgIQM3JUR8+R0vuUndjGK/aOgzANBgkqhkiG9w0BAQsFADAY MRYwFAYDVQQDEw1zZWxmc2lnbmVkLWNhMB4XDTIzMDMxNjEwMTYyN1oXDTIzMDYx NDEwMTYyN1owADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMQpMj/0 giDVOjOosSRRKUwTzl1Wo2R9YYAeteOW3fuMiAd+XaBGmRO/+GWZQN1tyRQ3pITM ezBgogYAUUNcuqN/UAsgH/JM58niMjZdjRKn4+it94Nj1e24jFL4ts2snCn7FfKJ 3zRtY9tyS7Agw3tCwtXV68Xpmf3CsfhPmn3rGdWHXyYctzAZhqYfEswN3hxpJZxR YVeb55WgDoPo5npZo3+yYiMtoOimIprcmZ2Ye8Wai9S4QKDafUWlvU5GQ65VVLzH PEdOMwbWcwiLqwUv889TiKiC5cyAD6wJOuPRF0KKxxFnG+lHlg9J2S1i5sC3pqoc i0pEQ+atOOyLMMECAwEAAaNkMGIwHQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUF BwMBMAwGA1UdEwEB/wQCMAAwHwYDVR0jBBgwFoAU2ZaAdEficKUWPFRjdsKSEX/l gbMwEgYDVR0RAQH/BAgwBoIEZXRjZDANBgkqhkiG9w0BAQsFAAOCAQEABcNvYTm8 ZJe3jUq6f872dpNVulb2UvloTpWxQ8jwXgcrhekSKU6pZ4p9IPwfauHLjceMFJLp t2eDi5fSQ1upeqXOofeyKSYjjyA/aVf1zMI8ReCCQtQuAVYyJWBlNLc3XMMecbcp JLGtd/OAZnKDeYYkUX7cJ2wN6Wl/wGLM2lxsqDhEHEZwvGL0DmsdHw7hzSjdVmxs 0Qgkh4jVbNUKdBok5U9Ivr3P1xDPaD/FqGFyM0ssVOCHxtPxhOUA/m3DSr6klfEF McOfudZE958bChOrJgVrUnY3inR0J335bGQ1luEp5tYwPgyD9dG4MQEDD3oLwp+l +NtTUqz8WVlMxQ== -----END CERTIFICATE-----
تكوين mTLS بين etcd و APISIX
مع توفر الشهادات، يمكننا الآن تكوين TLS المتبادل بين etcd و APISIX. لنبدأ بـ etcd:
apiVersion: v1 kind: Pod metadata: name: etcd namespace: tls labels: role: config spec: containers: - name: etcd image: bitnami/etcd:3.5.7 ports: - containerPort: 2379 env: - name: ETCD_TRUSTED_CA_FILE #1 value: /etc/ssl/private/ca.crt - name: ETCD_CERT_FILE #2 value: /etc/ssl/private/tls.crt - name: ETCD_KEY_FILE #3 value: /etc/ssl/private/tls.key - name: ETCD_ROOT_PASSWORD value: whatever - name: ETCD_CLIENT_CERT_AUTH #4 value: "true" - name: ETCD_LISTEN_CLIENT_URLS value: https://0.0.0.0:2379 volumeMounts: - name: ssl mountPath: /etc/ssl/private #5 volumes: - name: ssl secret: secretName: etcd-secret #5
- تعيين CA الموثوق به
- تعيين الشهادة
- تعيين المفتاح الخاص
- يتطلب من العملاء تقديم شهادتهم، مما يضمن المصادقة المتبادلة
- تحميل
Secretالذي تم إنشاؤه مسبقًا في الحاوية للوصول
الآن، حان دور Apache APISIX:
apiVersion: v1 kind: ConfigMap #1 metadata: name: apisix-config namespace: tls data: config.yaml: >- apisix: ssl: ssl_trusted_certificate: /etc/ssl/certs/ca.crt #2 deployment: etcd: host: - https://etcd:2379 tls: cert: /etc/ssl/certs/tls.crt #2 key: /etc/ssl/certs/tls.key #2 admin: allow_admin: - 0.0.0.0/0 https_admin: true #3 admin_api_mtls: admin_ssl_cert: /etc/ssl/private/tls.crt #3 admin_ssl_cert_key: /etc/ssl/private/tls.key #3 admin_ssl_ca_cert: /etc/ssl/private/ca.crt #3 --- apiVersion: v1 kind: Pod metadata: name: apisix namespace: tls labels: role: gateway spec: containers: - name: apisix image: apache/apisix:3.2.0-debian ports: - containerPort: 9443 #4 - containerPort: 9180 #5 volumeMounts: - name: config #1 mountPath: /usr/local/apisix/conf/config.yaml subPath: config.yaml - name: ssl #6 mountPath: /etc/ssl/private - name: etcd-client #7 mountPath: /etc/ssl/certs volumes: - name: config configMap: name: apisix-config - name: ssl #6,8 secret: secretName: apisix-server-secret - name: etcd-client #7,8 secret: secretName: apisix-client-secret
- لا يوفر Apache APISIX التكوين عبر متغيرات البيئة. نحتاج إلى استخدام
ConfigMapالذي يعكس ملفconfig.yamlالعادي - تكوين مصادقة العميل لـ etcd
- تكوين مصادقة الخادم لواجهة برمجة التطبيقات الإدارية
- منفذ HTTPS العادي
- منفذ HTTPS الإداري
- الشهادات لمصادقة الخادم
- الشهادات لمصادقة العميل
- يتم استخدام مجموعتين من الشهادات، واحدة لمصادقة الخادم لواجهة برمجة التطبيقات الإدارية و HTTPS العادي، وواحدة لمصادقة العميل لـ etcd.
في هذه المرحلة، يمكننا تطبيق البيانات أعلاه ورؤية الـ pods يتواصلون. عند الاتصال، يرسل Apache APISIX شهادة apisix-client عبر HTTPS. لأن الشهادة موقعة من قبل سلطة تثق بها etcd، فإنها تسمح بالاتصال.
لقد حذفت تعريف Service للإيجاز، ولكن يمكنك التحقق منها في مستودع GitHub.
NAME READY STATUS RESTARTS AGE apisix 1/1 Running 0 179m etcd 1/1 Running 0 179m
وصول العميل
الآن بعد أن قمنا بإعداد البنية التحتية الأساسية، يجب أن نختبر الوصول إليها باستخدام عميل. سنستخدم curl المخلص، ولكن أي عميل يسمح بتكوين الشهادات يجب أن يعمل، على سبيل المثال، httpie.
الخطوة الأولى هي إنشاء زوج مفتاح-شهادة مخصص للعميل:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: curl-client namespace: tls spec: secretName: curl-secret isCA: false usages: - client auth emailAddresses: - curl@localhost.dev issuerRef: name: ca-issuer kind: Issuer
يتطلب curl مسارًا إلى ملف الشهادة بدلاً من المحتوى. يمكننا تجاوز هذا القيد من خلال سحر zsh: بناء الجملة =( ... ) يسمح بإنشاء ملف مؤقت. إذا كنت تستخدم shell آخر، فستحتاج إلى العثور على بناء الجملة المكافئ أو تنزيل الملفات يدويًا.
لنستعلم عن واجهة برمجة التطبيقات الإدارية لجميع المسارات الموجودة. هذا الأمر البسيط يسمح بالتحقق من أن Apache APISIX متصل بـ etcd، ويمكنه قراءة تكوينه من هناك.
curl --resolve 'admin:32180:127.0.0.1' https://admin:32180/apisix/admin/routes \ #1 --cert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.crt }' | base64 -d) \ #2 --key =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.key }' | base64 -d) \ #2 --cacert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.ca\.crt }' | base64 -d) \ #2 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1'
--resolveيتجنب تلويث ملف/etc/hosts. سيترجمcurladminإلىlocalhost، ولكن يتم إرسال الاستعلام إلىadminداخل مجموعة Kubernetes، وبالتالي استخدامServiceالصحيح- الحصول على البيانات المطلوبة داخل
Secret، وفك تشفيرها، واستخدامها كملف مؤقت
إذا كان كل شيء يعمل، ويجب أن يعمل، يجب أن تكون النتيجة كما يلي:
{"total":0,"list":[]}
لا توجد مسارات متاحة حتى الآن لأننا لم نقم بإنشاء أي منها.
TLS مع Upstreams
أخيرًا وليس آخرًا، يجب علينا تكوين TLS لـ upstreams. في ما يلي، سأستخدم نسخة بسيطة من nginx تستجيب بمحتوى ثابت. استخدمها كتوضيح لـ upstreams أكثر تعقيدًا.
الخطوة الأولى، كما هو الحال دائمًا، هي إنشاء Certificate مخصص لـ upstream. سأتخطى كيفية القيام بذلك لأننا أنشأنا بالفعل عددًا قليلاً. أسميها upstream-server و Secret الخاص بها، بشكل غير مبتكر، upstream-secret. يمكننا الآن استخدام الأخير لتأمين NGINX:
apiVersion: v1 kind: ConfigMap #1 metadata: name: nginx-config namespace: tls data: nginx.conf: >- events { worker_connections 1024; } http { server { listen 443 ssl; server_name upstream; ssl_certificate /etc/ssl/private/tls.crt; #2 ssl_certificate_key /etc/ssl/private/tls.key; #2 root /www/data; location / { index index.json; } } } --- apiVersion: v1 kind: Pod metadata: name: upstream namespace: tls labels: role: upstream spec: containers: - name: upstream image: nginx:1.23-alpine ports: - containerPort: 443 volumeMounts: - name: config mountPath: /etc/nginx/nginx.conf #1 subPath: nginx.conf - name: content mountPath: /www/data/index.json #3 subPath: index.json - name: ssl #2 mountPath: /etc/ssl/private volumes: - name: config configMap: name: nginx-config - name: ssl #2 secret: secretName: upstream-secret - name: content #3 configMap: name: nginx-content
- لا يسمح NGINX بالتكوين عبر متغيرات البيئة؛ نحتاج إلى استخدام نهج
ConfigMap - استخدام زوج المفتاح-الشهادة الذي تم إنشاؤه عبر
Certificate - بعض المحتوى الثابت غير المهم في نطاق هذا المنشور
الخطوة التالية هي إنشاء المسار بمساعدة واجهة برمجة التطبيقات الإدارية. لقد أعددنا كل شيء في الخطوة السابقة؛ الآن يمكننا استخدام الواجهة:
curl --resolve 'admin:32180:127.0.0.1' https://admin:32180/apisix/admin/routes/1 \ --cert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.crt }' | base64 -d) \ #1 --key =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.key }' | base64 -d) \ #1 --cacert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.ca\.crt }' | base64 -d) \ #1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d "{ \"uri\": \"/\", \"upstream\": { \"scheme\": \"https\", #2 \"nodes\": { \"upstream:443\": 1 }, \"tls\": { \"client_cert\": \"$(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.crt }' | base64 -d)\", #3 \"client_key\": \"$(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.key }' | base64 -d)\" #3 } } }"
- مصادقة العميل لواجهة برمجة التطبيقات الإدارية، كما هو مذكور أعلاه
- استخدام HTTPS لـ upstream
- تكوين زوج المفتاح-الشهادة للمسار. يقوم Apache APISIX بتخزين البيانات في etcd وسيستخدمها عند استدعاء المسار. بدلاً من ذلك، يمكنك الاحتفاظ بالزوج ككائن مخصص واستخدام المرجع الذي تم إنشاؤه حديثًا (تمامًا كما هو الحال مع upstreams). يعتمد ذلك على عدد المسارات التي تحتاجها الشهادة. لمزيد من المعلومات، تحقق من نقطة نهاية SSL
أخيرًا، يمكننا التحقق من أنها تعمل كما هو متوقع:
curl --resolve 'upstream:32443:127.0.0.1' https://upstream:32443/ \ --cert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.crt }' | base64 -d) \ --key =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.tls\.key }' | base64 -d) \ --cacert =(kubectl get secret curl-secret -n tls -o jsonpath='{ .data.ca\.crt }' | base64 -d)
وهي تعمل:
{ "hello": "world" }
الخلاصة
في هذا المنشور، وصفت بنية عمل Apache APISIX وقمت بتنفيذ TLS المتبادل بين جميع المكونات: etcd و APISIX، العميل و APISIX، وأخيرًا، العميل و upstream. آمل أن يساعدك هذا على تحقيق نفس الشيء.
اتصل بنا إذا كان لديك أي أسئلة أو استفسارات حول APISIX وإدارة API.
للمضي قدمًا: