基于 Ingress-Nginx 实现 mTLS 双向认证

已于 2025-03-03 19:03:34 修改
阅读量1.3k 收藏 19
点赞数 26
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: 运维 ingress-nginx kubernetes
于 2025-03-03 18:41:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43798031/article/details/145995515

目录

背景描述:

TLS 和 MTLS 之间的差异

通过自签名证书启用双向 TLS

1.  生成证书

(1)  生成 CA(根证书颁发机构)

(2)  生成 CA(根证书颁发机构)

(3)  生成客户端证书

2. 在 Kubernetes 中配置 mTLS

(1)创建 CA 证书 Secret

(2)创建服务器证书 Secret

3. 配置 ingress-nginx

(1) 配置 ingress-nginx 控制器

(2) 配置 Ingress 资源

4. 客户端访问

(1)  当不带客户端证书进行请求

(2)  使用客户端证书进行请求

关于证书到期问题及应对方案

证书有效期规划

总结

背景描述:

在微服务架构中,安全性是至关重要的考虑因素。特别是在 Kubernetes 环境下,Ingress 作为流量入口,承担着重要的安全网关角色。默认情况下,Ingress-Nginx 仅支持 TLS 单向认证,即客户端验证服务器的证书,而 mTLS(Mutual TLS,双向 TLS 认证)则进一步增强了安全性,要求客户端也提供受信任的证书,以实现双向身份验证。

mTLS 适用于需要严格身份认证的场景,如:

API 网关安全访问:确保只有受信任的客户端可以访问微服务。

微服务间通信:保证服务之间的互相信任,防止未授权的请求。

企业内部系统安全加固:防止外部流量冒充合法客户端访问敏感数据。

TLS 和 MTLS 之间的差异

传输层安全性 (TLS)是一种用于保护计算机网络通信的协议。它为通过互联网通信的两台设备之间或客户端与服务器之间提供安全通道。

TLS 使用公钥和 TLS 证书加密的组合来保护数据传输。在 TLS 连接中,客户端和服务器交换消息以协商一组将用于保护连接的加密密钥。协商密钥后,客户端和服务器将使用它们来加密和解密它们之间传输的数据。TLS 证书可以称为 SSL 证书,这是因为TLS 是 SSL(安全套接字层)的演进版本

相互 TLS (mTLS) 是 TLS 的升级版,要求客户端和服务器使用数字证书相互验证身份。在相互 TLS 连接中,客户端向服务器出示自己的证书,服务器向客户端出示自己的证书。这可确保客户端和服务器的身份真实,从而为连接提供额外的安全保障。

本篇文章将介绍如何在 Kubernetes 集群中,基于 Ingress-Nginx 配置 mTLS,实现服务端与客户端的双向认证,并支持证书校验,以确保数据传输的安全性。

通过自签名证书启用双向 TLS

  我们将添加一个额外的安全层,即客户端证书验证。这有助于确保只有授权的客户端才能与服务器建立安全连接,并可以防止未经授权访问敏感信息。因此,我们将创建一个 CA (证书颁发机构)作为我们的验证门,以及客户端的证书和密钥,它们是客户端的可信身份。

MTLS认证过程

1.  生成证书

(1)  生成 CA(根证书颁发机构)

首先让我们创建一个 CA。CA 的主要目的是确认证书持有者的身份,以便证书接收者可以相信该证书是由信誉良好且值得信赖的实体颁发的。

# 生成 CA 私钥
openssl genrsa -out ca.key 2048
# 生成 CA 证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=MyCA" -days 365 -out ca.crt

解释:

• genrsa -out ca.key 2048:生成 2048 位的私钥。

• req -x509 -new -nodes -key ca.key -subj "/CN=MyCA" -days 365 -out ca.crt:使用该私钥创建 CA 证书,并设置证书有效期为 365 天。

(2)  生成 CA(根证书颁发机构)

Ingress 需要一个服务器证书用于 TLS 认证。

# 生成服务器私钥
openssl genrsa -out server.key 2048

# 生成服务器证书请求(CSR)
openssl req -new -key server.key -subj "/CN=example.com" -out server.csr

# 使用 CA 签发服务器证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

解释:

• genrsa -out server.key 2048:生成服务器私钥。

• req -new -key server.key -subj "/CN=example.com" -out server.csr:创建服务器证书请求(CSR),CN=example.com 代表服务器域名。

• x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365:使用 CA 证书签发服务器证书。

(3)  生成客户端证书

客户端证书用于身份验证,确保只有持有有效证书的客户端可以访问服务。

# 生成客户端私钥
openssl genrsa -out client.key 2048

# 生成客户端证书请求(CSR)
openssl req -new -key client.key -subj "/CN=client" -out client.csr

# 使用 CA 签发客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365

2. 在 Kubernetes 中配置 mTLS

(1)创建 CA 证书 Secret

kubectl create secret generic mtls-ca-secret --from-file=ca.crt -n ingress-nginx

用于 Ingress-Nginx 认证客户端证书。

(2)创建服务器证书 Secret

kubectl create secret tls mtls-server-secret --cert=server.crt --key=server.key -n ingress-nginx

用于 Ingress 认证 TLS 连接。

3. 配置 ingress-nginx

(1) 配置 ingress-nginx 控制器

启用 SSL 透传(Pass-through TLS):

修改 ingress-nginx 的 ConfigMap,开启 enable-ssl-passthrough 选项,使 Nginx 允许客户端证书透传到后端服务。

apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-configuration
  namespace: ingress-nginx
data:
  enable-ssl-passthrough: "true"

(2) 配置 Ingress 资源

使用 nginx.ingress.kubernetes.io/auth-tls-secret 注解启用 mTLS。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
  namespace: ingress-nginx
  annotations:
    nginx.ingress.kubernetes.io/auth-tls-secret: "ingress-nginx/mtls-ca-secret"
    nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
    nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
    nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true"
spec:
  ingressClassName: nginx
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-app-service
            port:
              number: 80
  tls:
  - hosts:
    - example.com
    secretName: mtls-server-secret

解释:

• nginx.ingress.kubernetes.io/auth-tls-secret:指定 CA 证书 Secret,用于验证客户端证书。

• nginx.ingress.kubernetes.io/auth-tls-verify-client: "on":启用客户端证书验证。

• nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true":将客户端证书传递到后端服务。

4. 客户端访问

使用 curl 命令携带客户端证书访问 Ingress。需要将生成好的client.crt client.key 发放给客户端

curl -k https://example.com --key client.key --cert client.crt -v

如果一切正常,服务器会返回 200 OK,否则可能会返回 400  Bad Request,表示客户端未提供有效证书。

(1)  当不带客户端证书进行请求

curl -k -v https://pre-xxx.xxx.cn/api

(2)  使用客户端证书进行请求

curl -k -v https://pre-xxx.xxx.cn/api --key client.key --cert client.crt

关于证书到期问题及应对方案

在使用 mTLS 进行安全认证时,证书的有效期至关重要。一旦证书过期,TLS 连接将无法建立,导致服务不可用。因此,了解证书的有效期管理和更新策略是保障系统稳定运行的关键。

  1. 证书有效期规划

在首次生成证书时,可以采用以下策略:

CA 证书(根证书)有效期设置较长,如 10 年,避免频繁更换。

服务器证书 有效期可以设置 1~3 年,减少更新频率。

客户端证书 由于安全性考虑,建议设置 6 个月 ~ 1 年,并定期更新。

总结

本文介绍了如何使用 OpenSSL 生成 CA 证书、服务器证书和客户端证书,并在 Kubernetes 中配置 Ingress-Nginx 以实现 mTLS 双向认证。通过 mTLS 认证,Ingress-Nginx 既可以验证客户端身份,又可以确保数据安全传输,为 API 访问控制、微服务安全通信提供了强有力的保障。

Rancher从入门到精通:解决Nginx Ingress的证书问题
TechChamp的博客
08-13 675
在使用Nginx Ingress时,我们可能需要为域名配置自定义的SSL证书,以保证访问的安全性。默认情况下,Nginx Ingress会使用一个名为"default-fake-certificate.pem"的伪证书,但这并不适用于实际生产环境中的安全需求。因此,我们需要修改Nginx Ingress的证书配置,使用我们自己的证书。通过上述的步骤,我们成功解决了Nginx Ingress中证书相关的问题。本文将介绍如何解决Nginx Ingress中证书相关的问题,并提供相应的源代码。
ingress-controller安装配置
qq_35008624的博客
12-26 1780
ingress-controller有两种安装方式:Deployment和DeamonSet Deployment模式安装: 需要注意的是: 当pod 设置hostNetwork: true时候,Pod中的所有容器就直接暴露在宿主机的网络环境中,这时候,Pod的PodIP就是其所在Node的IP。 对于同Deployment下的hostNetwork: true启动的Pod,每个node上只能启动一个。也就是说,Host模式的Pod启动副本...
【架构篇】安全架构-双向认证mTLS)
05-15 1170
mTLS(Mutual TLS)是一种基于数字证书的双向身份验证协议,广泛应用于微服务通信、金融交易等高安全场景。本文深入解析mTLS的工作原理、认证流程、Wireshark抓包分析,并结合实际案例探讨其优势与挑战。
NGINX Service Mesh 中的 mTLS 架构
NGINX开源社区的博客
06-28 354
原文作者:Faisal Memon of F5。
NGINX Ingress Controller 中使用通配符 TLS 证书的实践指南
最新发布
gitblog_00440的博客
06-08 337
NGINX Ingress Controller 中使用通配符 TLS 证书的实践指南 什么是通配符 TLS 证书 通配符 TLS 证书是一种特殊类型的 SSL/TLS 证书,它使用通配符(*)来保护一个主域名及其所有子域名。例如,*.example.com 的证书可以同时保护 foo.example.com、bar.example.com 等任意子域名。 在 Kubernetes 环境中使用 N...
(转)为 Ingress-nginx 配置双向认证mtls
senlin1202的博客
05-15 1236
这种格式可以保存证书和私钥,有时我们也把PEM 格式的私钥的后缀改为 .key 以区别证书与私钥。相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。Java Key Storage,很容易知道这是 JAVA 的专属格式,利用 JAVA 的一个叫 keytool 的工具可以进行格式转换。这就说明服务端认为我们是不可信的,因为没有携带证书。
Kubernetes Nginx Ingress教程
zhangge3663的博客
07-24 1582
最近发现好多人问Ingress,同时一直也没去用NginxIngress,索性捣鼓一把,发现跟原来确实有了点变化,在这里写篇文章记录一下 一、Ingress介绍 Kubernetes暴露服务的方式目前只有三种:LoadBalancer Service、NodePort Service、Ingress;前两种估计都应该很熟悉,具体的可以参考下这篇文章;下面想写介绍一下这个Ingress。 1.1 Ingress是个什么玩意 可能从大致印象上Ingress就是能利用Nginx、Haproxy啥的..
在ns01命名空间里创建一个名为network01的L4 CiliumNetworkPolicy网络策略,并按照如下方式配置它: 1. 允许命名空间ingress-nginx-controller的Pods,访问Deployment aaa的Pods 2. 需要双向认证
10-22
在Cilium中,要创建一个名为`network01`的L4 `CiliumNetworkPolicy`网络策略,并按照您的描述配置,可以使用Cilium的命令行...2. 要求双向认证,即从`ns01`命名空间发出的流量到`aaa`的流量需要经过加密并启用MTLS
Apache APISIX Ingress 为何成为又拍云打造容器网关的新选择?
ApacheAPISIX的博客
11-18 942
项目背景介绍目前市面上可执行 Ingress 的产品项目逐渐丰富了起来,可选择的范围也扩大了很多。这些产品按照架构大概可分为两类,一类像 K8s Ingress、Apache APISIX Ingress,他们是基于 Nginx、OpenResty 等传统代理器,使用 K8s-Client 和 Golang 去做 Controller。还有一类新兴的用 Golang 语言去实现代理和控制器功能,比如 Traefik。又拍云最开始包括现在的大部分业务仍在使用 Ingress-Nginx,整体架构如下。下层为数
为什么 APISIX Ingress 是比 Ingress NGINX 更好的选择?
ApacheAPISIX的博客
01-11 1201
作者容鑫,API7.ai 云原生技术工程师,Apache APISIX Committer。 本文将会对比两个比较流行的 Ingress controller 实现,希望能对读者进行 Ingress controller 选型中有所帮助。 Ingress NGINXKubernetes 社区实现Ingress controller,在社区中被广泛使用。Apache APISIX Ingress 则是 Apache 软件基金会下的开源项目,使用 APISIX 作为数据面的 Kubernetes
Istio报错「503: UPSTREAM_CONNECT_ERROR」:Sidecar注入与mTLS认证的故障排查
shejizuopin的博客
05-15 847
核心治理原则Sidecar注入分级管控fill:#333;color:#333;color:#333;fill:none;默认命名空间自动注入+默认策略敏感命名空间手动注入+严格mTLS测试命名空间禁用注入+DEBUG日志mTLS配置分级策略服务类型认证模式审计要求内部微服务STRICT每月一次证书轮换演练数据库访问STRICT启用双向认证+证书吊销列表外部API调用PERMISSIVE监控未加密流量占比。
hello-mtls:演示各种技术中相互TLS配置的文档
02-05
你好mTLS 该软件包包含有关如何配置多种技术以执行相互TLS的文档。 它是项目的一部分,该项目旨在提高开发人员对公钥基础结构的认识,将其作为常见安全问题的潜在解决方案。 如果您发现任何过时,丢失或错误的文档,强烈建议您提出拉取请求! 贡献 每种技术的文档都位于文件夹中的相应目录中。 要开始进行本地开发,请克隆此存储库并启动本地开发服务器: $ yarn install $ yarn start 您将可以在预览所有更改。 增加新技术 如果要添加新技术,最好的选择是引用此存储库中的现有配置,但这是每个目录内容的高级分类。 config.yaml 该文件配置基本信息,例如技术名称和文档的
使用Java执行mTLS调用
i6588662的博客
03-04 1257
在本教程中,我们将学习如何通过使用不同的客户端使我们的Java应用程序能够使用mTLS。我们将使用将mTLS添加到Nginx实例的现有示例。 假设我们有一个Nginx实例,使用SSL还有。如果使用Java与使用mTLS保护的服务进行交互,则需要对代码库进行一些更改。在本教程中,我们将使Java应用程序能够使用不同客户端的mTLS。 要快速入门,我们可以使用现有的示例添加MTLS一个Nginx实例。我们的java mTLS配置将使用用于将mTLS添加到Nginx的证书和密钥。 为了为我们的Java客户端
理解证书验证系列——HTTPS
InternalsOf
06-17 576
1 加密方式 方法1 对称加密 这种方式加密和解密同用一个密钥。加密和解密都会用到密钥。没有密钥就无法对密码解密,反过来说,任何人只要持有密钥就能解密了。 以对称加密方式加密时必须将密钥也发给对方。可究竟怎样才能安全地转交?在互联网上转发密钥时,如果通信被监听那么密钥就可会落人攻击者之手,同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。 方法2 非对称加密 公开密钥加密使用一对非对称的密钥。一把叫做私有密钥,另一把叫做公开密钥。顾名思义,私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 2543
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl。
mTLS(Mutual TLS)即双向传输层安全,是一种安全通信协议,用于在客户端和服务器之间建立双向的身份验证和加密通道。
wangqiaowq的博客
09-26 2214
mTLS(Mutual TLS)即双向传输层安全,是一种安全通信协议,用于在客户端和服务器之间建立双向的身份验证和加密通道。在传统的TLS(Transport Layer Security)中,客户端通常只会验证服务器的身份,而在mTLS中,双方都会验证对方的身份,这意味着客户端也需要向服务器提供证书。
在kong上,自行实现mTLS
wzp1986的专栏
01-05 1466
准备DB-less模式的kong服务器使用全局插件,在certificate阶段要求获取客户端证书,在rewrite阶段验证客户端证书 本文基于kong2.5版本,目标是根据tls协商的域名,让kong从配置里(而不是本地证书文件)选择对应的服务端证书以及用于验证客户端证书的CA证书。 准备DB-less模式的kong服务器 使用配置文件比较容易看清全局配置,在开发阶段,也容易清理和初始化全部kong规则 _format_version: "2.1" _transform: false servic
配置ingress-nginx支持https访问
woaiyangmeng的专栏
11-09 1841
ingress-nginx添加自签名证书,支持https,本文章主要做测试用,生产环境还需购买证书。6、使用浏览器访问https://tomcat.test.com,可以看见已经支持https访问了。3、再创建个ingress资源文件指定使用https,文件名为tomcat-ingress.yaml。主要就是添加了tls相关,域名还是不变的以及一个注解,并且引用了前面打入的证书。5、查看ingress,可以看到多了一个443。2、将证书导入k8s的secret中。
Kubernetes 之 MetalLB 与 Nginx Controller
02-27
MetalLB是一个针对自建kubernetes集群,用来当作一个负载均衡器来和K8S进行集成的。且可以使用ARP/NDP协议或BGP协议和其它网络设备进行集成。Nginx Controller也是当今用的最多和k8s集成、做服务反向代理的工具,并且同时还可以做到金丝雀发布等。注意:    1.  学习该视频之前,需要具有 Kubernetes 集群管理配置经验。   2. 如果没有支持BGP路由协议的硬件设备,MetalLB 部分的 BGP 负载均衡实验您可能无法做,但是后续的Nginx Controller 可以基于 MetalLB 二层负载均衡做实验。本课程主要分为两大方面来讲解:1.   MetalLB   -   MetalLB在网络二层协议的应用优缺点   -   MetalLB和防火墙BGP协议进行交互,在生产中的应用等2.   Nginx Controller   -   基于主机名、路径服务的路由   -   基本用户认证、外部认证,客户端服务器双向认证   -   利用nginx controller应用金丝雀的发布
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cloud孙文波

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值