概念 - AWS 私有憑證授權單位

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

概念

下圖顯示可在 Amazon EKS 叢集中使用 TLS 的一些選項。範例叢集位於負載平衡器後方。這些數字可識別 TLS 安全通訊的可能端點。

顯示 TLS 加密可能端點的圖表。每個端點都有對應至下列清單的數字。

  1. 負載平衡器的終止

    Elastic Load Balancing (ELB) 已與 AWS Certificate Manager 服務整合。您不需要在負載平衡器cert-manager上安裝 。您可以使用私有 CA 佈建 ACM、使用私有 CA 簽署憑證,以及使用 ELB 主控台安裝憑證。 AWS 私有 CA 憑證會自動續約。

    或者,您可以提供私有憑證給非AWS 負載平衡器來終止 TLS。

    這可提供遠端用戶端與負載平衡器之間的加密通訊。將未加密的負載平衡器傳遞至 Amazon EKS 叢集之後的資料。

  2. 在 Kubernetes 輸入控制器終止

    輸入控制器位於 Amazon EKS 叢集內,可作為負載平衡器和路由器。若要使用輸入控制器做為叢集的端點進行外部通訊,您必須:

    • 安裝 cert-manageraws-privateca-issuer

    • 使用來自 的 TLS 私有憑證佈建控制器 AWS 私有 CA。

    負載平衡器和輸入控制器之間的通訊會加密,資料會以未加密的方式傳遞至叢集的資源。

  3. 在 Pod 終止

    每個 Pod 是共用儲存和網路資源的一或多個容器群組。如果您同時安裝 aws-privateca-issuer cert-manager和 並使用私有 CA 佈建叢集,Kubernetes 可以視需要在 Pod 上安裝已簽署的 TLS 私有憑證。根據預設,在 Pod 終止的 TLS 連線不適用於叢集中的其他 Pod。

  4. Pod 之間的安全通訊。

    您可以使用憑證佈建多個 Pod,以允許它們彼此通訊。可能的情況如下:

    • 使用 Kubernetes 佈建 產生的自我簽署憑證。這可保護 Pod 之間的通訊,但自我簽署憑證不符合 HIPAA 或 FIPS 要求。

    • 使用由 簽署的憑證進行佈建 AWS 私有 CA。這需要同時安裝 cert-manageraws-privateca-issuer。然後,Kubernetes 可以視需要在 Pod 上安裝已簽署的 mTLS 憑證。