` 替换为现有域名。 | DevOps 工程师 |
| 生成客户端密钥和证书,并使用 CA 证书进行签名。 | 通过运行以下命令生成客户端密钥和证书,并使用 CA 证书进行签名。openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=Test' && openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt
| DevOps 工程师 |
### 部署 NGINX 入口控制器
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 将 NGINX 入口控制器部署到 Amazon EKS 集群中。 | 使用以下命令部署 NGINX 入口控制器。kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.7.0/deploy/static/provider/aws/deploy.yaml
| DevOps 工程师 |
| 验证 NGINX 入口控制器服务正在运行。 | 使用以下命令验证 NGINX 入口控制器服务正在运行。kubectl get svc -n ingress-nginx
请确认服务地址字段包含网络负载均衡器的域名。 | DevOps 工程师 |
### 在 Amazon EKS 集群中创建命名空间来测试双向 TLS
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 在 Amazon EKS 集群中创建命名空间。 | 通过运行以下命令在 Amazon EKS 集群中创建名为 `mtls` 的命名空间。kubectl create ns mtls
这将部署示例应用程序来测试双向 TLS。 | DevOps 工程师 |
### 为示例应用程序创建部署和服务
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 在 mtls 命名空间中创建 Kubernetes 部署和服务。 | 创建一个名为 `mtls.yaml`的文件。将以下代码粘贴到该文件中。kind: Deployment
apiVersion: apps/v1
metadata:
name: mtls-app
labels:
app: mtls
spec:
replicas: 1
selector:
matchLabels:
app: mtls
template:
metadata:
labels:
app: mtls
spec:
containers:
- name: mtls-app
image: hashicorp/http-echo
args:
- "-text=mTLS is working"
---
kind: Service
apiVersion: v1
metadata:
name: mtls-service
spec:
selector:
app: mtls
ports:
- port: 5678 # Default port for image
通过运行以下命令在 `mtls` 命名空间中创建 Kubernetes 部署和服务。kubectl create -f mtls.yaml -n mtls
| DevOps 工程师 |
| 验证已创建 Kubernetes 部署。 | 运行以下命令验证部署是否已创建,且有一个容器组(pod)处于可用状态。kubectl get deploy -n mtls
| DevOps 工程师 |
| 验证是否已创建 Kubernetes 服务。 | 通过运行以下命令验证是否已创建 Kubernetes 服务。kubectl get service -n mtls
| DevOps 工程师 |
### 在 mtls 命名空间中创建密钥
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 创建入口资源的密钥。 | 运行以下命令,使用您之前创建的证书为 NGINX 入口控制器创建密钥。kubectl create secret generic mtls-certs --from-file=tls.crt=server.crt --from-file=tls.key=server.key --from-file=ca.crt=ca.crt -n mtls
您的密钥有一个服务器证书供客户端识别服务器,还有一个 CA 证书供服务器验证客户端证书。 | DevOps 工程师 |
### 在 mtls 命名空间中创建入口资源
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 在 mtls 命名空间中创建入口资源。 | 创建一个名为 `ingress.yaml`的文件。将以下代码粘贴到文件中(将 `` 替换为现有域名)。apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: mtls/mtls-certs
name: mtls-ingress
spec:
ingressClassName: nginx
rules:
- host: "*."
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: mtls-service
port:
number: 5678
tls:
- hosts:
- "*."
secretName: mtls-certs
通过运行以下命令以在 `mtls` 命名空间中创建入口资源。kubectl create -f ingress.yaml -n mtls
这意味着 NGINX 入口控制器可以将流量路由到示例应用程序。 | DevOps 工程师 |
| 验证入口资源是否已创建。 | 通过运行以下命令验证是否已创建入口资源。kubectl get ing -n mtls
请确认入口资源的地址显示为 NGINX 入口控制器创建的负载均衡器。 | DevOps 工程师 |
### 配置 DNS 以将主机名指向负载均衡器
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 创建指向 NGINX 入口控制器的负载均衡器的 CNAME 记录。 | 登录 AWS 管理控制台,打开 Amazon Route 53 控制台,然后创建将 `mtls.` 指向 NGINX 入口控制器的负载均衡器的规范名称(CNAME)记录。
有关更多信息,请参阅 Route 53 文档中的[使用 Route 53 控制台创建记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。 | DevOps 工程师 |
### 测试应用程序
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 在没有证书的情况下测试双向 TLS 设置。 | 运行如下命令。curl -k https://mtls.
您应该收到“400 未发送必需的 SSL 证书”错误响应。 | DevOps 工程师 |
| 在有证书的情况下测试双向 TLS 设置。 | 运行如下命令。curl -k https://mtls. --cert client.crt --key client.key
您应该收到“mTLS 正在运行”的响应。 | DevOps 工程师 |
## 相关资源
+ [通过使用 Amazon Route 53 控制台创建记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)
+ [在 Amazon EKS 上使用带有 NGINX 入口控制器的网络负载均衡器](https://aws.amazon.com/blogs/opensource/network-load-balancer-nginx-ingress-controller-eks/)
+ [客户证书认证](https://kubernetes.github.io/ingress-nginx/examples/auth/client-certs/)