كيفية استخدام cert-manager و HashiCorp Vault لإدارة الشهادات؟
Jintao Zhang
March 2, 2023
ما هي المشكلة التي يحلها cert-manager
تم إصدار cert-manager كمشروع مفتوح المصدر من قبل JETSTACK في عام 2017، وتم التبرع به إلى CNCF (Cloud Native Computing Foundation) وأصبح مشروعًا على مستوى الحضانة. وفي أكتوبر 2022، أصبح مشروعًا في مرحلة الحضانة في CNCF.
يمكن لـ cert-manager إدارة شهادات x.509 تلقائيًا في Kubernetes وOpenShift. حيث يجعل الشهادات وطلبات توقيع الشهادات أول نوع من الموارد المدعومة في Kubernetes، وقد تم تنفيذ هذه العملية باستخدام CRD. بالإضافة إلى ذلك، يسمح cert-manager للمطورين بطلب شهادة لتحسين أمان الوصول إلى التطبيقات بسرعة.
لنلقي نظرة على كيفية إدارة الشهادات في Kubernetes قبل ظهور cert-manager.
كيفية إدارة الشهادات في Kubernetes
هناك طريقتان رئيسيتان لتخزين البيانات في Kubernetes:
- ConfigMap
- Secret
ومع ذلك، فإن جميع المعلومات في ConfigMap تكون نصًا عاديًا. لذلك، فإن تخزين بعض المعلومات العامة يكون مناسبًا؛ لكنه غير مناسب للمعلومات الخاصة مثل الشهادات.
عند تصميم Kubernetes، كان يُوصى باستخدام Secret لتخزين المعلومات ذات الصلة مثل الشهادات، كما يوفر دعمًا لذلك. يمكننا بسهولة تخزين معلومات الشهادة من خلال kubectl create secret tls. على سبيل المثال:
➜ ~ kubectl create secret tls moelove-tls --cert=./cert.pem --key=./cert-key.pem secret/moelove-tls created ➜ ~ kubectl get secret moelove-tls -oyaml apiVersion: v1 data: tls.crt: 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 tls.key: LS0tLS1CRUdJTiBFQyBQUklWQVRFIEtFWS0tLS0tCk1IY0NBUUVFSUsyZjZHQlNZQ0R4eVoycnB2bVZ1YW5MNDhxeW9SK1NiWmxiQzNqSUZybzhvQW9HQ0NxR1NNNDkKQXdFSG9VUURRZ0FFVVNwQWM0YTVRdDBDQ1VraEZIZjdadm9HUVF5VU9RTFJSYWRtK0lFK1dWZDk4clpHOTRaaApvTzJsNlJaRjYydU83cWlnZWxpQnBjQUZDcXNZT0c2dUtnPT0KLS0tLS1FTkQgRUMgUFJJVkFURSBLRVktLS0tLQo= kind: Secret metadata: creationTimestamp: "2022-10-19T07:24:26Z" name: moelove-tls namespace: default resourceVersion: "2103326" uid: 14f86514-a1d1-4d99-b000-9ed8b5189d56 type: kubernetes.io/tls
من خلال الأمر أعلاه، تم إنشاء مورد سري باسم moelove-tls من نوع kubernetes.io/tls في Kubernetes.
يمكن الرجوع إلى هذا المورد مباشرة للحصول على معلومات الشهادة المقابلة إذا كان التطبيق يحتاج إلى استخدامها. في معظم الحالات، سنستخدمها في سياق Ingress Controller. على سبيل المثال:
➜ ~ kubectl create ingress moelove-ing --rule="moelove.info/=moelove:8080,tls=moelove-tls" ingress.networking.k8s.io/moelove-ing created ➜ ~ kubectl get ing moelove-ing -oyaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: creationTimestamp: "2022-10-19T07:32:43Z" generation: 1 name: moelove-ing namespace: default resourceVersion: "2104268" uid: b90f09f7-8036-4b9f-9744-a247141ea8da spec: rules: - host: moelove.info http: paths: - backend: service: name: moelove port: number: 8080 path: / pathType: Exact tls: - hosts: - moelove.info secretName: moelove-tls status: loadBalancer: {}
من خلال الأمر أعلاه، تم إنشاء مورد ingress باسم moelove-ing. تم تعريف النطاق باسم moelove.info، وتمت إضافة حماية الشهادة لهذا النطاق باستخدام moelove-tls. بعد أن يحصل مكون Ingress controller المقابل على مورد Ingress، يمكن للمكون تكوين الشهادة تلقائيًا لهذا النطاق، مما يحسن أمان الموقع.
ما هي المشاكل التي واجهناها
إصدار الشهادات معقد
في المحتوى أعلاه، لم أشرح كيفية إصدار الشهادات. إذا كنت مهتمًا، يمكنك الاطلاع على OpenSSL Documentation. خلال عملية إصدار الشهادات، هناك العديد من المفاهيم التي يجب فهمها. علاوة على ذلك، تحدث عملية التوقيع خارج مجموعة Kubernetes، ولا يمكن فهم ما حدث بالضبط من خلال طريقة التكوين "التصريحية". خاصة أن الشهادات يمكن أن تحتوي على العديد من خوارزميات التشفير المختلفة، والتكوينات، إلخ.
لذلك إذا كنت تستخدم الطريقة الافتراضية، يمكنك فقط تخزين الشهادة والمفتاح الذي تم إنشاؤه في Kubernetes Secrets.
تجديد/إعادة توقيع الشهادات معقد
نعلم جميعًا أن الشهادات لها تاريخ انتهاء صلاحية. قبل انتهاء صلاحية الشهادة أو إلغائها، يجب إعداد شهادة جديدة، ويجب أن يكون تاريخ انتهاء صلاحية الشهادة الجديدة لاحقًا للشهادة القديمة.
إدارة الشهادات في Kubernetes Secrets تحتاج إلى تحسين لأن:
-
لا يوجد فحص تلقائي لتاريخ انتهاء الصلاحية: يمكنك تخزين أي شهادات في Kubernetes، بغض النظر عما إذا كانت الشهادة قد انتهت صلاحيتها أم لا.
-
لا يوجد فحص للبيانات غير الصالحة: إذا كانت البيانات المخزنة في Kubernetes Secrets تالفة أو غير صالحة، فلا يوجد معالجة خاصة في Kubernetes.
نقص الأمان
الشهادة والمعلومات الرئيسية المخزنة في Kubernetes Secrets تكون مشفرة فقط باستخدام base64. لذلك، يمكن لأي شخص يحصل على البيانات فك تشفيرها باستخدام base64 للحصول على البيانات الحقيقية. على سبيل المثال:
➜ ~ kubectl get secrets moelove-tls -o jsonpath='{ .data.tls\.crt }' |base64 -d -----BEGIN CERTIFICATE----- MIICEzCCAbmgAwIBAgIUTxBL/ZBGi8BB9AU7bQZ/c+w6/TswCgYIKoZIzj0EAwIw TTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcxFTATBgNVBAoTDE1vZUxv dmUgSU5GTzEVMBMGA1UEAxMMbW9lbG92ZS5pbmZvMB4XDTIyMTAxOTA3MTcwMFoX DTIzMTAxOTA3MTcwMFowTTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcx FTATBgNVBAoTDE1vZUxvdmUgSU5GTzEVMBMGA1UEAxMMbW9lbG92ZS5pbmZvMFkw EwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEUSpAc4a5Qt0CCUkhFHf7ZvoGQQyUOQLR Radm+IE+WVd98rZG94ZhoO2l6RZF62uO7qigeliBpcAFCqsYOG6uKqN3MHUwDgYD VR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAMBgNV HRMBAf8EAjAAMB0GA1UdDgQWBBQgKMbrpToy85W/G/a0fmc9C1BQmDAXBgNVHREE EDAOggxtb2Vsb3ZlLmluZm8wCgYIKoZIzj0EAwIDSAAwRQIgQ3O8IgCv2Td5HaWM pMKZdB/3WtC+xDeIWOlDz/hBw14CIQDLP4m0xZfJBoDg9pDhq8FtsyT7UeXUvVFA lKKQxVM9qA== -----END CERTIFICATE-----
يمكن الحصول على البيانات الأصلية المتعلقة بالشهادة من خلال الأمر أعلاه.
من ناحية أخرى، عندما نريد تحديث بيانات الشهادة والمفتاح، يمكن تحديثها مباشرة دون أي عملية تأكيد ثانوية.
هذا لا يتوافق مع سياسات الأمان في معظم السيناريوهات.
لنرى الآن كيف يحل cert-manager هذه المشاكل.
كيف يحل cert-manager هذه المشاكل
الإصدار التلقائي
تم تطوير cert-manager وتمديده من خلال CRD، حيث تمت إضافة وتنفيذ موارد Issuers وClusterIssuers، والتي تمثل CA (سلطة الشهادة) للشهادة.
كما يدعم مجموعة متنوعة من الأنواع المدمجة ويمكن دمجه بسهولة مع المكونات الخارجية، مثل:
-
SelfSigned: شهادة موقعة ذاتيًا
-
CA: توفير CA للإصدار
-
Vault: استخدام HashiCorp Vault للإصدار
-
Venafi: استخدام Venafi للإصدار
-
External: استخدام بعض المكونات الخارجية للتوقيع، مثل:
-
ACME (بيئة إدارة الشهادات التلقائية)
يمكن استخدام هذه المكونات لإصدار الشهادات بسهولة. سيتم تقديم مثال محدد باستخدام Vault في المحتوى اللاحق.
التجديد/إعادة التوقيع التلقائي
في cert-manager، يمكننا بسهولة تجديد الشهادة يدويًا من خلال cmctl، وفي نفس الوقت، سيقوم cert-manager بالتحقق تلقائيًا من صلاحية الشهادة وسلامتها.
إذا انتهت صلاحية الشهادة أو كانت بيانات الشهادة غير مكتملة، يمكن أن يؤدي ذلك إلى إعادة إصدار الشهادة تلقائيًا، مما يوفر تكاليف العمالة والصيانة.
ضمان الأمان
في cert-manager، تمت إضافة مورد signers من خلال CRD (CustomResourceDefinitions)، مما يسمح بتأكيد طلب الشهادة، Approved أو Denied. فقط بعد الموافقة سيتم تفعيلها، وسيتم إصدار الشهادة. إنها طريقة أكثر أمانًا.
كيفية تكامل APISIX Ingress Controller مع cert-manager
التثبيت
Apache APISIX Ingress Controller هو Kubernetes Ingress Controller يمكنه دعم تكوين قواعد الوكيل من خلال Ingress، الموارد المخصصة، وGateway API.
سنوضح الآن كيفية تكامل APISIX Ingress Controller مع cert-manager لإضافة شهادة TLS إلى نطاق الوكيل لتحسين الأمان.
في نفس الوقت، سنستخدم Vault لإصدار الشهادات.
نشر APISIX Ingress Controller
نشر APISIX Ingress Controller بسيط جدًا: تحتاج فقط إلى تنفيذ الخطوات التالية:
tao@moelove:~$ helm repo add apisix https://charts.apiseven.com tao@moelove:~$ helm repo add bitnami https://charts.bitnami.com/bitnami tao@moelove:~$ helm repo update tao@moelove:~$ helm install apisix apisix/apisix --set gateway.tls.enabled=true --set gateway.type=NodePort --set ingress-controller.enabled=true --set ingress-controller.config.apisix.serviceNamespace=apisix --namespace apisix --create-namespace --set ingress-controller.config.apisix.serviceName=apisix-admin --set ingress-controller.config.ingressPublishService="apisix/apisix-gateway" NAME: apisix LAST DEPLOYED: Wed Oct 19 21:33:37 2022 NAMESPACE: apisix STATUS: deployed REVISION: 1 TEST SUITE: None NOTES: 1. Get the application URL by running these commands: export NODE_PORT=$(kubectl get --namespace apisix -o jsonpath="{.spec.ports[0].nodePort}" services apisix-gateway) export NODE_IP=$(kubectl get nodes --namespace apisix -o jsonpath="{.items[0].status.addresses[0].address}") echo http://$NODE_IP:$NODE_PORT
عندما تكون جميع الـ Pods في حالة التشغيل، يكون النشر ناجحًا.
tao@moelove:~$ kubectl -n apisix get pods NAME READY STATUS RESTARTS AGE apisix-777c9fdd67-rf8zs 1/1 Running 0 6m48s apisix-etcd-0 1/1 Running 0 6m48s apisix-etcd-1 1/1 Running 0 6m48s apisix-etcd-2 1/1 Running 0 6m48s apisix-ingress-controller-568544b554-k7nd4 1/1 Running 0 6m48s
نشر Vault
عند نشر Vault، يمكن أيضًا استخدام Helm. هنا أضفت عنصر تكوين --set "server.dev.enabled=true" حتى يمكن استخدامه مباشرة بعد النشر دون أي عمليات إضافية. (لاحظ أن هذا التكوين لا يجب استخدامه في بيئة الإنتاج.)
tao@moelove:~$ helm repo add hashicorp https://helm.releases.hashicorp.com tao@moelove:~$ helm install vault hashicorp/vault --set "injector.enabled=false" --set "server.dev.enabled=true" NAME: vault LAST DEPLOYED: Wed Oct 19 21:53:50 2022 NAMESPACE: default STATUS: deployed REVISION: 1 NOTES: Thank you for installing HashiCorp Vault! Now that you have deployed Vault, you should look over the docs on using Vault with Kubernetes available here: https://www.vaultproject.io/docs/ Your release is named "vault". To learn more about the release, try the following: $ helm status vault $ helm get manifest vault
بعد الانتهاء من النشر، يوضح الـ Pod في حالة التشغيل أن النشر قد اكتمل.
tao@moelove:~$ kubectl get pods NAME READY STATUS RESTARTS AGE vault-0 1/1 Running 0 29s tao@moelove:~$ kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 84m vault ClusterIP 10.96.190.88 <none> 8200/TCP,8201/TCP 4m14s vault-internal ClusterIP None <none> 8200/TCP,8201/TCP 4m14s
بعد ذلك، أدخل إلى Vault للعمل، حيث تم تمكين ميزة pki وتم تكوين السياسة المقابلة.
tao@moelove:~$ kubectl exec -it vault-0 -- sh / $ vault secrets enable pki Success! Enabled the pki secrets engine at: pki/ / $ vault write pki/root/generate/internal common_name=moelove.info ttl=8760h Key Value --- ----- certificate -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIUds5uMJV9rOkwFEt6Xof5T2SVFccwDQYJKoZIhvcNAQEL ... VM4DRVgDkqY9JdHU -----END CERTIFICATE----- expiration 1668983612 issuer_id 8df13015-7c70-df9a-7bb7-9b3b4afe7f82 issuer_name n/a issuing_ca -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIUds5uMJV9rOkwFEt6Xof5T2SVFccwDQYJKoZIhvcNAQEL ... VM4DRVgDkqY9JdHU -----END CERTIFICATE----- key_id c9fcfcb0-3548-a9a7-e706-30510592c797 key_name n/a serial_number 76:ce:6e:30:95:7d:ac:e9:30:14:4b:7a:5e:87:f9:4f:64:95:15:c7 / $ / $ vault write pki/config/urls issuing_certificates="http://vault.default:8200/v1/pki/ca" crl_distribution_points="http://vault.default:8200/v1/pki/crl" Success! Data written to: pki/config/urls / $ vault write pki/roles/moelove-dot-info allowed_domains=moelove.info allow_subdomains=true max_ttl=72h Success! Data written to: pki/roles/moelove-dot-info / $ / $ vault policy write pki - <<EOF > path "pki*" { capabilities = ["read", "list"] } > path "pki/sign/moelove-dot-info" { capabilities = ["create", "update"] } > path "pki/issue/moelove-dot-info" { capabilities = ["create"] } > EOF Success! Uploaded policy: pki
بعد ذلك، قم بتكوين المصادقة مع Kubernetes:
/ $ vault auth enable kubernetes Success! Enabled kubernetes auth method at: kubernetes/ / $ vault write auth/kubernetes/config kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" Success! Data written to: auth/kubernetes/config / $ vault write auth/kubernetes/role/issuer bound_service_account_names=issuer bound_service_account_namespaces=default policies=pki ttl=20m Success! Data written to: auth/kubernetes/role/issuer
بعد الانتهاء من العمليات أعلاه، الخطوة التالية هي نشر cert-manager.
نشر cert-manager
الآن يمكنك تثبيت cert-manager من خلال Helm، وعملية التثبيت بسيطة نسبيًا.
tao@moelove:~$ helm repo add jetstack https://charts.jetstack.io tao@moelove:~$ helm repo update jetstack Hang tight while we grab the latest from your chart repositories... ...Successfully got an update from the "jetstack" chart repository Update Complete. ⎈Happy Helming!⎈ tao@moelove:~$ kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.10.0/cert-manager.crds.yaml customresourcedefinition.apiextensions.k8s.io/clusterissuers.cert-manager.io created customresourcedefinition.apiextensions.k8s.io/challenges.acme.cert-manager.io created customresourcedefinition.apiextensions.k8s.io/certificaterequests.cert-manager.io created customresourcedefinition.apiextensions.k8s.io/issuers.cert-manager.io created customresourcedefinition.apiextensions.k8s.io/certificates.cert-manager.io created customresourcedefinition.apiextensions.k8s.io/orders.acme.cert-manager.io created tao@moelove:~$ helm install \ > cert-manager jetstack/cert-manager \ > --namespace cert-manager \ > --create-namespace \ > --version v1.10.0 xNAME: cert-manager LAST DEPLOYED: Wed Oct 19 22:51:06 2022 NAMESPACE: cert-manager STATUS: deployed REVISION: 1 TEST SUITE: None NOTES: cert-manager v1.10.0 has been deployed successfully! In order to begin issuing certificates, you will need to set up a ClusterIssuer or Issuer resource (for example, by creating a 'letsencrypt-staging' issuer). More information on the different types of issuers and how to configure them can be found in our documentation: https://cert-manager.io/docs/configuration/ For information on how to configure cert-manager to automatically provision Certificates for Ingress resources, take a look at the `ingress-shim` documentation: https://cert-manager.io/docs/usage/ingress/
تحقق من حالة الـ Pod:
tao@moelove:~$ kubectl -n cert-manager get pods NAME READY STATUS RESTARTS AGE cert-manager-69b456d85c-znpq4 1/1 Running 0 117s cert-manager-cainjector-5f44d58c4b-wcd27 1/1 Running 0 117s cert-manager-webhook-566bd88f7b-7rptf 1/1 Running 0 117s
ثم يمكننا البدء في التكوين والتحقق.
كيفية التكوين والتحقق؟
تكوين وإصدار الشهادات
tao@moelove:~$ kubectl create serviceaccount issuer serviceaccount/issuer created tao@moelove:~$ kubectl get secret NAME TYPE DATA AGE sh.helm.release.v1.vault.v1 helm.sh/release.v1 1 36m tao@moelove:~$ vim issuer-secret.yaml tao@moelove:~$ cat issuer-secret.yaml apiVersion: v1 kind: Secret metadata: name: issuer-token-moelove annotations: kubernetes.io/service-account.name: issuer type: kubernetes.io/service-account-token tao@moelove:~$ kubectl apply -f issuer-secret.yaml secret/issuer-token-moelove created tao@moelove:~$ kubectl get sa,secret NAME SECRETS AGE serviceaccount/default 0 118m serviceaccount/issuer 0 2m11s serviceaccount/vault 0 38m NAME TYPE DATA AGE secret/issuer-token-moelove kubernetes.io/service-account-token 3 35s secret/sh.helm.release.v1.vault.v1 helm.sh/release.v1 1 38m
إنشاء Issuer
من خلال هذا التكوين، سيتم استخدام Vault كسلطة الشهادة، وسيتم الإصدار التلقائي بالإشارة إلى الدور والسر المكون في Vault.
tao@moelove:~$ cat vault-issuer.yaml apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: vault-issuer namespace: default spec: vault: server: http://vault.default path: pki/sign/moelove-dot-info auth: kubernetes: mountPath: /v1/auth/kubernetes role: moelove-dot-info secretRef: name: issuer-token-moelove key: token tao@moelove:~$ kubectl apply -f vault-issuer.yaml issuer.cert-manager.io/vault-issuer created
إنشاء الشهادة
من خلال التكوين هنا، يمكن إصدار الشهادة تلقائيًا ويمكن الرجوع إليها من خلال moelove-info-tls أثناء الاستخدام اللاحق.
tao@moelove:~$ cat moelove-dot-info-cert.yaml apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: moelove-info namespace: default spec: secretName: moelove-info-tls issuerRef: name: vault-issuer commonName: www.moelove.info dnsNames: - www.moelove.info tao@moelove:~$ kubectl apply -f moelove-dot-info-cert.yaml certificate.cert-manager.io/moelove-info created
التحقق
بعد ذلك، تحقق من خلال وكيل خدمة HTTPBIN.
أولاً، قم بإنشاء تطبيق HTTPBIN وإنشاء الخدمة المقابلة.
kubectl run httpbin --image kennethreitz/httpbin kubectl expose pod httpbin --port=80
ثم قم بتعريف الموارد التالية للوكيل والرجوع إلى الشهادات:
# تعريف كائنات ApisixTls apiVersion: apisix.apache.org/v2 kind: ApisixTls metadata: name: moelove spec: hosts: - moelove.info secret: name: moelove-info-tls --- # تعريف المسار للوصول إلى الخلفية apiVersion: apisix.apache.org/v2 kind: ApisixRoute metadata: name: moelove spec: http: - name: httpbin match: paths: - /* hosts: - moelove.info backends: - serviceName: httpbin servicePort: 80
قم بتطبيق هذه الموارد على المجموعة. ثم استخدم kubectl port-forward لتوجيه المنفذ 443 من APISIX إلى المحلي وإجراء اختبار الوصول:
$ ~ kubectl port-forward -n ingress-apisix svc/apisix-gateway 8443:443 & $ ~ curl -sk https://moelove.info:8443/ip --resolve 'moelove.info:8443:127.0.0.1' { "origin": "172.17.18.1" }
يمكن ملاحظة أنه تم تكوين شهادة HTTPS بشكل صحيح لنطاق moelove.info، وتم تكوين وكيل له من خلال APISIX Ingress Controller.
الخلاصة
هناك طريقتان افتراضيتان لتخزين الشهادات في Kubernetes: ConfigMap وSecret. ومع ذلك، فإن إصدار الشهادات وتجديدها/إعادة توقيعها معقد، والأمان يحتاج إلى تحسين.
حل cert-manager هذه المشاكل وأصبح تدريجيًا المعيار الفعلي في مجال إصدار/إدارة الشهادات في نظام Kubernetes البيئي. بالإضافة إلى ذلك، يمكن دمجه مع أدوات مثل Vault، مما يجعله أكثر أمانًا.
Apache APISIX Ingress Controller ملتزم بإنشاء Ingress Controller سهل الاستخدام، لذلك تمت إضافة قدرة تكامل كاملة مع cert-manager في وقت مبكر. يمكن للمستخدمين استخدام cert-manager لإصدار الشهادات من خلال Vault في Apache APISIX Ingress Controller وتوفير وكيل HTTPS للتطبيقات.