在具有负载均衡器服务的k8s上部署nginx服务器时,没有提示客户端证书

问题描述 投票:0回答:2

我的Web服务器后端强制执行客户端证书。这很有效,直到我将部署移动到Kubernetes集群。我的猜测是转发规则没有将证书请求从服务器传递给浏览器。

我正在使用uwsgi-nginx-flask-docker container

我的Nginx配置如下:

server {
    listen 8000 ssl;
    location / {
        try_files $uri @app;
    }
    location @app {
        include uwsgi_params; uwsgi_param SSL_CLIENT_S_DN $ssl_client_s_dn;

        uwsgi_pass unix:///tmp/uwsgi.sock;
        uwsgi_read_timeout 300;

        ssl_certificate     /app/cert.pem;
        ssl_certificate_key /app/key.pem;
        ssl_password_file   /app/password.pass;

        ssl_client_certificate  /app/client-ca.crt;
        ssl_verify_client off;
        ssl_verify_depth 2;
    }
    location /static {
        alias /app/static;
    }
}

在本地容器上部署此服务器时,我正在按照预期在SSL_CLIENT_S_DN中获取flask.request.environ

在我的Kubernetes集群上,该变量只是空的,浏览器上没有弹出证书需求。

我的服务和部署:

apiVersion: v1
kind: Service
metadata:
  name: my-server
spec:
  selector:
    app: my-server
  type: LoadBalancer
  loadBalancerIP: XX.XX.XXX.XXX
  ports:

  - protocol: TCP
    port: 8000
    targetPort: 8000

---

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-server
  labels:
    app: my-server
spec:
  replicas: 1
  strategy:
    type: RollingUpdate
  selector:
    matchLabels:
      app: my-server
  template:
    metadata:
      labels:
        app: my-server
    spec:
      restartPolicy: Always
      hostname: my-server
      containers:

      - name: my-server
        image: asia.gcr.io/my-project/my-server:latest
        imagePullPolicy: Always
        ports:
        - name: LISTEN_PORT
          value: "8000 ssl"
nginx kubernetes client-certificates kubernetes-service
2个回答
1
投票

Kubernetes支持multiple means of authentication,它们是:X509Static Token FileBootstrap TokensStatic Password FileService Account TokensOpenID Connect Tokens

HereFrederic Branczyk撰写博客文章的链接,他解释了如何设置X509客户端证书。

他创建了一个ClusterRole,它具有对所有pod和名称空间的只读权限:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: read-only-user
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - namespaces
  verbs:
  - get
  - list
  - watch

然后在ClusterRoleBinding中授予用户这些权限

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: read-only-users
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: read-only-user
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: brancz

上面的ClusterRoleBinding为名为“brancz”的用户提供了ClusterRole中指定的名为“只读用户”的角色

您还可以查看他用于生成客户端证书的自动化脚本,使用群集的CA对其进行签名并生成kubeconfig

我希望这可以帮助你。

0
投票

我以为我遇到了同样的问题,结果发现这只是我的ca.crt中的一个错误。复制粘贴我想,检查以确保你的客户端证书的签名者位于ca.crt链中,如果它不是nginx会无声地失败。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.