Kubernetes 和外部 DNS 服务 外部 DNS 服务

mitaparvin

对于企业级应用程序平台，安全性是必须的，并且它有许多构建块。请阅读我们博客上的安全系列，了解我们如何处理各种安全相关问题。 安全系列： 使用 OAuth2 和 Vault 对 Pipeline 用户进行身份验证和授权 使用 Kubernetes 服务帐户使用 Vault 进行动态凭证 使用 Vault 和 Pipeline 进行动态 SSH 使用 Vault 和 Pipeline 进行安全 Kubernetes 部署 使用 Pipeline 在 K8s 上执行策略 The Vault 瑞士军刀 Banzai Cloud Vault Operator Vault 使用 KMS 解封流程 在这篇文章中，我们将描述如何使用外部 DNS 服务（特别是Amazon Route53）来解决一部分安全难题（尽管 Amazon Route53 的实用程序并不限于此用例）。


助Pipeline ，用户可以在所有主要云提供商（例如AWS、GCP、Azure 和 BYOC）上配置大型多租户 Kubernetes 集群，然后将各种应用程序部署到其 Kubernetes 集群。 已部署的应用程序可能会公开一个公共端点，在该端点上可以访问它提供的服务。（例如已部署的 MySQL 的主机和端口）。保护公共端点的步骤之一是确保客户端和服务器之间的通 电话号码列表 信通道是安全的。为此，必须使用 TLS（传输层安全）协议对客户端和服务器之间的连接进行加密。 为了为服务设置 TLS，需要私钥和包含公钥的服务器证书。服务器证书可以是自签名的，也可以是来自知名证书提供商的商业证书。服务器证书的通用名称必须与服务的 URL 匹配，否则客户端将不信任他们连接到的服务。如果可以通过多个 URL 访问服务，则需要多域服务器证书。 在云中运行 Kubernetes 时，公共端点通常通过LoadBalancer 类型的服务公开。Kubernetes 使用云提供商的 API 来创建云提供商提供的负载均衡器（例如，对于 Amazon 来说，它将是 Amazon Elastic Load Balancer）。云提供商创建的负载均衡器会产生一些成本，因此建议您将负载均衡器的数量保持在相对较低的水平。这可以通过使用Ingress在Pipeline中实现。 如果您对如何将身份验证添加到 Ingress 感兴趣，请查看我们的Ingress 身份验证帖子。



当云提供商配置负载均衡器时，它将被分配一个生成的 DNS 名称。这是指向-type 的 Kubernetes 服务的 URL，然后该服务指向运行应用程序的 Kubernetes Pod。这些是在 Kubernetes 上运行的应用程序的公共端点如何在云环境中公开的机制。 Public IP  LoadBalancer 如上所述，为了在此公共端点上设置 TLS，必须使用与公共端点的 URL 匹配的服务器证书颁发证书。由于我们不知道云提供商生成的 DNS 名称是什么，因此我们只能在 DNS 名称准备好后提供服务器证书，然后将应用程序配置为使用 TLS。显然，这是不可持续的，我们需要一个允许在预定义 URL 上发布公共端点的解决方案，并可以预先配置 TLS 服务器证书。