在 EKS Fargate 上使用內部 MTLS 身份驗證啟用到 Kubernetes pod 的 https 流量
[英]Enable https traffic to Kubernetes pod with internal MTLS auth on EKS Fargate
問題描述
我正在構建一個需要 PKI MTLS X509Certificate 身份驗證的服務。 因此,我有一個 AWS ACM 私有 CA,它頒發私有客戶端證書以識別客戶端,並定期 ACM 頒發證書來識別服務器。
對於 MTLS 身份驗證,我使用 Spring 安全性 (Java),它需要一個包含私有根 CA 證書的信任庫來驗證客戶端,以及一個 PKCS#12 密鑰庫來強制執行 SSL(供客戶端驗證服務器)。
當我使用 SSL 在本地運行它時,一切正常。 在我在應用程序中啟用 SSL 之前,集群中的一切都運行良好。 但是,當我將 MTLS 邏輯添加到應用程序時,與集群中的應用程序通信時連接會掛起。
我猜我需要為集群中的服務/入口配置 https,但是我發現的所有內容都指定了要使用的證書的 arn,而我已經將它安裝在應用程序中。 我要做的就是允許 https 流量通過負載均衡器進入我的應用程序,並讓應用程序處理 SSL 內容。
或者,如果可以在 Spring 安全性中配置 X509Certificate 身份驗證,而無需客戶端驗證服務器的 SSL 證書。 在這種情況下,SSL 證書將僅在生產中使用,而不是在本地使用。
這可能嗎?每種方法的優缺點是什么?
1 個解決方案
解決方案1
0 已采納 2022-06-21 06:59:42
所以最后我最終使用了帶有 ssl-passthrough 的 nginx 入口控制器。 但是,EKS Fargate pod 不支持 nginx 入口控制器,因此我不得不創建一個新的托管集群。 從技術上講,我本可以將混合集群與托管節點和 Fargate 節點一起使用,但我覺得 Fargate 讓我非常頭疼,當我進行一些計算時,我發現 Fargate 在我們的案例中可能成本更高。
使用https和TLS保護Kubernetes集群中的內部服務通信
[英]Securing internal service communication in a Kubernetes cluster with https and TLS
如何在 Kubernetes 中使用 Spring 應用程序提供雙向 TLS (mTLS)?
[英]How to provide mutual TLS (mTLS) with Spring application in Kubernetes?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.