跳到主要內容

Kubernetes中的TLS應用

 

Kubernetes中的TLS應用


隨著資訊傳遞速度的快速增加和數據的廣泛使用,保障資料安全性已成為一個至關重要的議題。特別是在大規模應用中,例如容器化環境下的 Kubernetes(k8s)集群,通信安全性無疑是一個極為重要的環節。而透過 Transport Layer Security(TLS)技術的應用,我們能夠有效地保障通信的安全性。


Transport Layer Security(TLS)技術的應用

在資訊傳輸中,若敏感資料如使用者帳號和密碼以明文形式傳送,這對駭客來說是易於竊取的。因此,我們採用加密技術來保護這些敏感資訊,將其加密後再傳送給伺服器進行解密(即對稱加密)。

然而,在傳送加密金鑰的過程中,金鑰本身可能被竊取,這樣一來駭客就有可能用偷來的金鑰來解密敏感資訊。為了解決此問題,伺服器會生成一對公鑰(Public Key)和私鑰(Private Key)。公鑰會傳送給瀏覽器,瀏覽器使用公鑰將金鑰加密後再傳送回伺服器。伺服器可以使用私鑰解密獲取金鑰,這樣一來就能保障金鑰在傳遞過程中的安全性(即非對稱加密)。

然而,即使使用了非對稱加密,駭客仍然有可能透過釣魚網站的方式誘使使用者交出金鑰,因此我們需要確認連線對象是否是合法的網站。

建立連線時,瀏覽器會要求伺服器提供證書以驗證其身份。此證書包含了伺服器的公鑰以及發行機構的訊息。通過驗證這個證書,我們可以確認公鑰的合法性,從而判斷連線對象是否是合法的網站。

然而,駭客也有可能偽造證書,因此為了避免這種情況的發生,各個證書授權機構會生成一對公私鑰。在發出證書之前,證書授權機構會使用私鑰對證書進行加密。這樣一來,瀏覽器在獲得證書後可以使用內建的公鑰對其進行解密,以驗證證書的合法性。


TLS 在 Kubernetes 中的重要性

在 Kubernetes 集群中,無論是 API Server、Pod 之間的通信,還是其他組件之間的通信,都需要得到安全保護。TLS 技術的應用使得這些通信變得安全可靠,有效地防止了敏感信息的泄露和不良攻擊的發生。

為了識別各個元件的身份,我們在 Kubernetes 環境中設置了相應的 client certificate 和 server certificate。

舉例來說,System admin user、Kube Scheduler、Kube Controll Manager 、Kube Proxy 以及 kubelet 等元件需要與 kube API Server 進行溝通,因此它們都擁有相應的 client certificate,例如 admin.crt、scheduler.crt、controllermanager.crt、kube-proxy.crt、kubeletclient.crt 等等。

而 kube API Server 本身也需要證明自己的身份,因此它具有 apiserver.crt 和 apiserver.key,同時作為 client 時,它也擁有對應的 client certificate(例如 apiserver-kubeletclient.crt、apiserver-etcdclient.crt ) 來跟 ETCD server 以及 Kubelet server 溝通。

另外,像是 etcd server 和 kubelet server 也擁有自己的 server certificate,以證明自己的伺服器身份(例如 etcdserver.crt、kubelet.crt 等等)。

這樣的設置保證了在 Kubernetes 集群中各個元件之間通信的安全性,確保了系統的穩定運行和敏感信息的保密性。




標籤:

留言

張貼留言

這個網誌中的熱門文章

[解決方法] docker: permission denied

前言 當我們執行docker 指令時若出現以下錯誤訊息 docker: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.26/containers/create: dial unix /var/run/docker.sock: connect: permission denied. See 'docker run --help'. 表示目前的使用者身分沒有權限去存取docker engine, 因為docker的服務基本上都是以root的身分在執行的, 所以在指令前加sudo就能成功執行指令 但每次實行docker指令(就連docker ps)都還要加sudo實在有點麻煩, 正確的解法是 我們可以把目前使用者加到docker群組裡面, 當docker service 起來時, 會以這個群組的成員來初始化相關服務 sudo groupadd docker sudo usermod -aG docker $USER 需要退出重新登錄後才會生效 Workaround 因為問題是出在權限不足, 如果以上方法都不管用的話, 可以手動修改權限來解決這個問題 sudo chmod 777 /var/run/docker.sock https://docs.docker.com/install/linux/linux-postinstall/
張貼留言
閱讀完整內容

[C#] Visual Studio, 如何在10分鐘內快速更改命名專案名稱

前言: 由於工作需要, 而且懶得再重寫類似的專案, 所以常常將之前寫的專案複製一份加料後, 再重新命名編譯 假設今天我有一個專案HolyUWP, 我想把它重新命名成 BestUWP 時該怎麼做? 以下是幾個簡單的的步驟 使用Visual Studio 2017 備份原來專案 更改Solution名稱 更改Assembly name, Default namespce 更改每支程式碼的Namespace 更改專案資料夾名稱 備份原來專案 由於怕改壞掉, 所以在改之前先備份 更改Solution名稱 更改sln的名稱, 這邊我改成BestUWP.sln 使用Visual Studio打開你的.sln, 右鍵點擊Solution後選擇Rename, 這邊我把它重新命名成BestUWP(跟檔案名稱一致) 必要的話可以順便修改Porject名稱 更改Assembly name, Default namespce 進入 Project > OOXX Properties    修改Assembly Name, Default namesapce 更改每支程式碼的Namespace 基本上隨便挑一支有用到預設Namesapce(HolyUWP)的程式碼來改就好了 重新命名後點擊Apply,  這個動作做完後所有用到舊Namespace的程式碼都會被改成新的 更改專案資料夾名稱 以上動作做完後, 基本上就可以把專案編譯出來測看看了~
2 則留言
閱讀完整內容

[解決方法] mac 作業系統上無法使用 docker

  錯誤訊息 Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 原因 因為 docker 的設計是走 client-server 的架構,  如果少裝了 server 的部分就會出現以上的錯誤訊息 解決方法 因為 docker daemon 需要使用 linux kernel 上的某些功能, 所以若想要在 mac 的 OS X 上使用 docker 必須額外起一台 linux VM 給 docker daemon 用  Step 1. 安裝 virtual box $ brew install virtualbox --cask   Step 2. 安裝 docker machine $ brew install docker-machine --cask   Step 3. 設定 使用 docker-machine 建立 VM 跑容器 $docker-machine create --driver virtualbox default $docker-machine restart   輸出環境變數 $docker-machine env default 如果執行以上的指令出現錯誤訊息 Error checking TLS connection: ...  可以執行以下指令重新產生憑證 $docker-machine regenerate-certs 最後套用環境變數, 讓 docker 知道要怎麼去跟這台 VM 溝通  $eval $(docker-machine env default)   測試 若做完以上的步驟沒噴錯誤訊息的話, 可以跑個 hello-world 看看 docker daemon 有沒有起來 $docker run hello-world Unable to find image 'hello-world:latest' locally latest: Pulling from library/hello-world 0e03bdcc26d7: Pull complete Digest: sha256:95ddb6c31407e84e91a986b004aee40975cb0
張貼留言
閱讀完整內容