`取代 。 | DevOps 工程師 |
| 產生用戶端金鑰和憑證,並使用 CA 憑證簽署。 | 產生用戶端金鑰和憑證,並執行下列命令以 CA 憑證簽署。openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=Test' && openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt
| DevOps 工程師 |
### 部署 NGINX 輸入控制器
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 在 Amazon EKS 叢集中部署 NGINX 輸入控制器。 | 使用下列命令部署 NGINX 輸入控制器。kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.7.0/deploy/static/provider/aws/deploy.yaml
| DevOps 工程師 |
| 確認 NGINX 輸入控制器服務正在執行。 | 使用以下命令,確認 NGINX 輸入控制器服務正在執行。kubectl get svc -n ingress-nginx
請確定服務地址欄位包含 Network Load Balancer 的網域名稱。 | DevOps 工程師 |
### 在 Amazon EKS 叢集中建立命名空間,以測試相互 TLS
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 在 Amazon EKS 叢集中建立命名空間。 | 執行下列命令,在您的 Amazon EKS 叢集`mtls`中建立名為 的命名空間。kubectl create ns mtls
這會部署範例應用程式來測試交互 TLS。 | DevOps 工程師 |
### 為範例應用程式建立部署和服務
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 在 mtls 命名空間中建立 Kubernetes 部署和服務。 | 建立名為 `mtls.yaml` 的檔案。將以下程式碼貼到檔案。kind: Deployment
apiVersion: apps/v1
metadata:
name: mtls-app
labels:
app: mtls
spec:
replicas: 1
selector:
matchLabels:
app: mtls
template:
metadata:
labels:
app: mtls
spec:
containers:
- name: mtls-app
image: hashicorp/http-echo
args:
- "-text=mTLS is working"
---
kind: Service
apiVersion: v1
metadata:
name: mtls-service
spec:
selector:
app: mtls
ports:
- port: 5678 # Default port for image
執行下列命令,在 `mtls` 命名空間中建立 Kubernetes 部署和服務。kubectl create -f mtls.yaml -n mtls
| DevOps 工程師 |
| 確認已建立 Kubernetes 部署。 | 執行下列命令,以確認已建立部署,且有一個處於可用狀態的 Pod。kubectl get deploy -n mtls
| DevOps 工程師 |
| 確認已建立 Kubernetes 服務。 | 執行下列命令,確認已建立 Kubernetes 服務。kubectl get service -n mtls
| DevOps 工程師 |
### 在 mtls 命名空間中建立秘密
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 建立傳入資源的秘密。 | 執行 folllowing 命令,使用您先前建立的憑證,為 NGINX 輸入控制器建立秘密。kubectl create secret generic mtls-certs --from-file=tls.crt=server.crt --from-file=tls.key=server.key --from-file=ca.crt=ca.crt -n mtls
您的秘密具有一個伺服器憑證供用戶端識別伺服器,以及一個 CA 憑證供伺服器驗證用戶端憑證。 | DevOps 工程師 |
### 在 mtls 命名空間中建立輸入資源
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 在 mtls 命名空間中建立輸入資源。 | 建立名為 `ingress.yaml` 的檔案。將下列程式碼貼入 檔案 (``以您現有的網域名稱取代)。apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: mtls/mtls-certs
name: mtls-ingress
spec:
ingressClassName: nginx
rules:
- host: "*."
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: mtls-service
port:
number: 5678
tls:
- hosts:
- "*."
secretName: mtls-certs
執行下列命令,在`mtls`命名空間中建立輸入資源。kubectl create -f ingress.yaml -n mtls
這表示 NGINX 輸入控制器可以將流量路由到您的範例應用程式。 | DevOps 工程師 |
| 確認已建立輸入資源。 | 執行下列命令,確認已建立輸入資源。kubectl get ing -n mtls
請確定輸入資源的地址顯示為 NGINX 輸入控制器建立的負載平衡器。 | DevOps 工程師 |
### 設定 DNS 將主機名稱指向負載平衡器
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 建立指向 NGINX 輸入控制器負載平衡器的 CNAME 記錄。 | 登入 AWS 管理主控台,開啟 Amazon Route 53 主控台,並建立正式名稱 (CNAME) 記錄,`mtls.`指向 NGINX 輸入控制器的負載平衡器。如需詳細資訊,請參閱 Route [ Route 53 文件中的使用 Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。 Route 53 | DevOps 工程師 |
### 測試應用程式。
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 在沒有憑證的情況下測試交互 TLS 設定。 | 執行下列命令。curl -k https://mtls.
您應該會收到「400 未傳送必要的 SSL 憑證」錯誤回應。 | DevOps 工程師 |
| 使用憑證測試交互 TLS 設定。 | 執行下列命令。curl -k https://mtls. --cert client.crt --key client.key
您應該會收到「mTLS 正在運作」回應。 | DevOps 工程師 |
## 相關資源
+ [使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)
+ [在 Amazon EKS 上使用 Network Load Balancer 搭配 NGINX 輸入控制器](https://aws.amazon.com/blogs/opensource/network-load-balancer-nginx-ingress-controller-eks/)
+ [用戶端憑證驗證](https://kubernetes.github.io/ingress-nginx/examples/auth/client-certs/)