Proxy Kubernetes上入口控制器(Traefik)和后端服务之间的安全通信
我试图在Kubernetes集群中,在Traefik代理后面保护Nifi。两者都作为K8S中的服务运行。Traefik由公共证书进行保护。我希望它将调用重定向到nifi,同时保护Traefik(作为入口控制器)和后端pods:nifi之间的通信 看起来安全确认应该存在于我的入口YAML描述符中。看起来我应该发出一个CA根来生成Nifi自签名证书,并将此CA根加载到Traefik中,这样它就可以在与Nifi握手时验证Nifi发送的证书 但是。。。我不知道1)这是否是一个好方法,2)我如何使用CA根为NiFi生成存储(信任,…),3)我应该如何设置YAML(Proxy Kubernetes上入口控制器(Traefik)和后端服务之间的安全通信,proxy,kubernetes,apache-nifi,traefik,kubernetes-ingress,Proxy,Kubernetes,Apache Nifi,Traefik,Kubernetes Ingress,我试图在Kubernetes集群中,在Traefik代理后面保护Nifi。两者都作为K8S中的服务运行。Traefik由公共证书进行保护。我希望它将调用重定向到nifi,同时保护Traefik(作为入口控制器)和后端pods:nifi之间的通信 看起来安全确认应该存在于我的入口YAML描述符中。看起来我应该发出一个CA根来生成Nifi自签名证书,并将此CA根加载到Traefik中,这样它就可以在与Nifi握手时验证Nifi发送的证书 但是。。。我不知道1)这是否是一个好方法,2)我如何使用CA根
unsecureskipverify
似乎不受支持,…)
提前,谢谢你的帮助
干杯
Olivier我也有同样的问题,可以用
unsecureskipverify
标志解决它。traefik的问题是,NiFi从traefik获取请求并将其自签名证书发送回traefik进行握手。Traefik不接受它,因此握手失败,导致NiFi中出现
bad_证书
异常(具有loglevelDEBUG
,因此您必须更改logback.xml
文件)
因此,一种解决方案是将自签名证书添加到traefik,这在目前是不可能的
另一个解决方案是,在不“不安全”现有traefik的情况下,在traefik和NiFi之间添加一个nginx
。因此,traefik使用nginx谈论HTTPHTTP
,nginx使用NiFi谈论HTTPSHTTPS
(这将是我尝试的下一件事)
或者您可以在traefik中设置unsecureskipverify
标志,就像我在daemonset.yaml中所做的那样:
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
creationTimestamp: 2018-06-21T16:18:46Z
generation: 4
labels:
k8s-app: traefik-internal
release: infrastructure
name: traefik-internal
namespace: infrastructure
resourceVersion: "18860064"
selfLink: /apis/extensions/v1beta1/namespaces/infrastructure/daemonsets/traefik-internal
uid: c64a20e1-776e-11f8-be83-42010a9c0ff6
spec:
revisionHistoryLimit: 10
selector:
matchLabels:
k8s-app: traefik-internal
name: traefik-internal
release: infrastructure
template:
metadata:
creationTimestamp: null
labels:
k8s-app: traefik-internal
name: traefik-internal
release: infrastructure
spec:
containers:
- args:
- --api
- --ping
- --defaultEntryPoints=http,https
- --logLevel=INFO
- --accessLog
- --kubernetes
- --kubernetes.ingressClass=traefik-internal
- --metrics.prometheus=true
- --entryPoints=Name:https Address::443 TLS:/certs/cert.pem,/certs/cert.key
CA:/certs/clientca.pem
- --entryPoints=Name:http Address::80 Redirect.EntryPoint:https
- --insecureSkipVerify=true
image: traefik:1.6.0-rc6-alpine
imagePullPolicy: IfNotPresent
name: traefik-internal
resources: {}
securityContext:
privileged: true
terminationMessagePath: /dev/termination-log
terminationMessagePolicy: File
volumeMounts:
- mountPath: /certs
name: traefik-internal-certs
readOnly: true
dnsPolicy: ClusterFirst
restartPolicy: Always
schedulerName: default-scheduler
securityContext: {}
serviceAccount: sa-traefik
serviceAccountName: sa-traefik
terminationGracePeriodSeconds: 60
volumes:
- name: traefik-internal-certs
secret:
defaultMode: 420
secretName: traefik-internal
templateGeneration: 4
updateStrategy:
rollingUpdate:
maxUnavailable: 1
type: RollingUpdate
status:
currentNumberScheduled: 3
desiredNumberScheduled: 3
numberAvailable: 3
numberMisscheduled: 0
numberReady: 3
observedGeneration: 4
updatedNumberScheduled: 3
spec.containers.args
中的unsecureskipverify
标志已更改
希望有帮助 我不熟悉traefik或Ingress控制器,但对于Apache NiFi,您可以使用附带的tls toolkit
生成本地CA,生成并签署任意数量的节点和客户端证书,并将它们全部放入安全的JKS密钥库和信任库中,以便于部署。是的,谢谢你@Andy,但这并不能解决问题。我(当然)使用NiFitls工具包
,但这会生成自签名证书。所以我需要在Traefik/Ingress中接受此证书。我不知道如何在K8S中实现这一点。您可以为NiFi生成由外部实体签名的证书,也可以使用NiFi自签名CA证书并将其导入Traefik truststore。我不确定,但我会查看traefik.yaml文件,看看是否有外部信任库的配置值,或者它是否标识了您需要将CA公共证书导入的现有信任库文件。@Olivier您有什么进展吗?我也有同样的问题。在NiFi中,我在握手过程中收到了一个错误的\u证书
异常。