概念 - Amazon 私有证书颁发机构
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

概念

下图显示了在 Amazon EKS 集群中使用 TLS 的一些可用选项。示例集群位于负载均衡器后面。这些数字标识了 TLS 安全通信的可能端点。

显示可能的 TLS 加密端点的图表。每个端点都有一个与以下列表相对应的数字。

  1. 在负载均衡器处终止

    Elastic Load Balancing (ELB) 已与该 Amazon Certificate Manager 服务集成。您无需在负载均衡器cert-manager上安装。您可以使用私有 CA 配置 ACM,使用私有 CA 签署证书,然后使用 ELB 控制台安装证书。 Amazon 私有 CA 证书会自动续订。

    或者,您可以向非Amazon 负载均衡器提供私有证书以终止 TLS。

    这提供了远程客户端和负载均衡器之间的加密通信。负载均衡器之后的数据以未加密方式传递到 Amazon EKS 集群。

  2. 在 Kubernetes 入口控制器处终止

    入口控制器位于 Amazon EKS 集群内,充当负载均衡器和路由器。要使用入口控制器作为集群的终端节点进行外部通信,您必须:

    • 同时安装cert-manageraws-privateca-issuer

    • 为控制器提供来自的 TLS 私有证书 Amazon 私有 CA。

    负载均衡器和入口控制器之间的通信已加密,数据未加密地传递到集群的资源。

  3. 在 pod 处终止

    每个 Pod 是一组共享存储和网络资源的一个或多个容器。如果您同时安装cert-manageraws-privateca-issuer和并为集群配置私有 CA,Kubernetes 可以根据需要在 Pod 上安装签名的 TLS 私有证书。默认情况下,集群中的其他 Pod 无法使用在某个 Pod 上终止的 TLS 连接。

  4. 容器组(pod)之间的安全通信。

    您可以为多个 Pod 配置证书,以允许它们相互通信。以下是可能的情况:

    • 使用 Kubernetes 进行配置会生成自签名证书。这可以保护 pod 之间的通信,但是自签名证书不满足 HIPAA 或 FIPS 的要求。

    • 使用由签名的证书进行配置 Amazon 私有 CA。这需要同时安装cert-manageraws-privateca-issuer。然后,Kubernetes 可以根据需要在容器上安装签名的 mTLS 证书。