Konsep - AWS Private Certificate Authority

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep

Diagram berikut menunjukkan beberapa opsi yang tersedia untuk menggunakan TLS di cluster Amazon EKS. Contoh cluster berada di belakang penyeimbang beban. Angka-angka tersebut mengidentifikasi kemungkinan titik akhir untuk komunikasi yang diamankan TLS.

Diagram yang menunjukkan titik akhir yang mungkin untuk enkripsi TLS. Setiap titik akhir memiliki nomor yang sesuai dengan daftar berikut.

  1. Penghentian di penyeimbang beban

    Elastic Load Balancing (ELB) terintegrasi dengan layanan. AWS Certificate Manager Anda tidak perlu menginstal cert-manager pada penyeimbang beban. Anda dapat menyediakan ACM dengan CA pribadi, menandatangani sertifikat dengan CA pribadi, dan menginstal sertifikat menggunakan konsol ELB. AWS Private CA sertifikat diperpanjang secara otomatis.

    Sebagai alternatif, Anda dapat memberikan sertifikat pribadi ke penyeimbang AWS non-beban untuk mengakhiri TLS.

    Ini menyediakan komunikasi terenkripsi antara klien jarak jauh dan penyeimbang beban. Data setelah penyeimbang beban diteruskan tanpa dienkripsi ke cluster Amazon EKS.

  2. Penghentian pada pengontrol ingress Kubernetes

    Pengontrol ingress ada di dalam kluster Amazon EKS dan bertindak sebagai penyeimbang beban dan router. Untuk menggunakan pengontrol ingress sebagai titik akhir cluster untuk komunikasi eksternal, Anda harus:

    • Instal keduanya cert-manager dan aws-privateca-issuer

    • Menyediakan pengontrol dengan sertifikat pribadi TLS dari file. AWS Private CA

    Komunikasi antara penyeimbang beban dan pengontrol masuk dienkripsi, data melewati tidak terenkripsi ke sumber daya cluster.

  3. Penghentian di pod

    Setiap pod adalah grup dari satu atau lebih kontainer yang berbagi penyimpanan dan sumber daya jaringan. Jika Anda menginstal keduanya cert-manager dan aws-privateca-issuer dan menyediakan klaster dengan CA pribadi, Kubernetes dapat menginstal sertifikat pribadi TLS yang ditandatangani pada pod sesuai kebutuhan. Koneksi TLS yang berakhir di sebuah pod tidak tersedia untuk pod lain di cluster secara default.

  4. Mengamankan komunikasi antar pod.

    Anda dapat menyediakan beberapa pod dengan sertifikat untuk memungkinkan mereka berkomunikasi satu sama lain. Skenario berikut mungkin terjadi:

    • Penyediaan dengan Kubernetes menghasilkan sertifikat yang ditandatangani sendiri. Ini mengamankan komunikasi antar pod, tetapi sertifikat yang ditandatangani sendiri tidak memenuhi persyaratan HIPAA atau FIPS.

    • Penyediaan dengan sertifikat yang ditandatangani oleh. AWS Private CA Ini membutuhkan pemasangan keduanya cert-manager danaws-privateca-issuer. Kubernetes kemudian dapat menginstal sertifikat mTLS yang ditandatangani pada pod sesuai kebutuhan.