Certificados TLS

El operador de Kubernetes de MongoDB Enterprise está obsoleto. El nuevo El Operador de Controladores para Kubernetes de MongoDB reemplaza al Operador de Kubernetes Empresarial de MongoDB. La primera versión del Operador de Controladores para Kubernetes es funcionalmente equivalente a la1.33 versión 7900 del Operador de Kubernetes Empresarial. Para obtener más información sobre este cambio y orientación sobre la migración al nuevo Operador, consulte las notas de la versión de la primera versión. No habrá futuras versiones del Operador de Kubernetes Empresarial de MongoDB. Cada versión alcanzará el final de su vida útil según el plazo de un año vigente. Política de soporte. Migre al operador de controladores para Kubernetes para obtener soporte continuo.

Esta sección proporciona orientación sobre la creación de certificados TLS para cada componente de MongoDB y la creación de secretos de Kubernetes en cada uno de sus clústeres de Kubernetes para montar los certificados TLS de forma segura en los pods de Kubernetes adecuados.

El proceso que se describe a continuación utiliza Cert ManagerPara crear los certificados TLS. Sin embargo, tenga en cuenta que esta guía es orientativa y que CertManager no es compatible con MongoDB. Además, CertManager es solo una de las muchas maneras de agregar certificados TLS a sus clústeres de Kubernetes. Además, los certificados autofirmados podrían no ser adecuados para implementaciones de producción, según los requisitos de seguridad de su organización. Si necesita certificados de confianza pública, configure su emisor como corresponda o proporcione el certificado TLS directamente. Para obtener más información,consulte "Configurar una integración con cert-manager".

Requisitos previos

Antes de comenzar, realice las siguientes tareas:

Instalar kubectl.
Instalar Helm.
Establezca las K8S_CLUSTER_*_CONTEXT_NAME variables de entorno como se explica en la guía de clústeres de GKE.

Código fuente

Puede encontrar todo el código fuente incluido en el repositorio del operador Kubernetes de MongoDB.

Procedimiento

Agregue el repositorio de gráficos de Helm.

1 helm repo add jetstack https://charts.jetstack.io --force-update

Utilice Helm para instalar cert-manager.

1 helm install \
2   cert-manager jetstack/cert-manager \
3   --kube-context "${K8S_CLUSTER_0_CONTEXT_NAME}" \
4   --namespace cert-manager \
5   --create-namespace \
6   --set crds.enabled=true

Crear un emisor de certificados.

1 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2 apiVersion: cert-manager.io/v1
3 kind: ClusterIssuer
4 metadata:
5   name: selfsigned-cluster-issuer
6 spec:
7   selfSigned: {}
8 EOF
9 
10 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer selfsigned-cluster-issuer
11 
12 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
13 apiVersion: cert-manager.io/v1
14 kind: Certificate
15 metadata:
16   name: my-selfsigned-ca
17   namespace: cert-manager
18 spec:
19   isCA: true
20   commonName: my-selfsigned-ca
21   secretName: root-secret
22   privateKey:
23     algorithm: ECDSA
24     size: 256
25   issuerRef:
26     name: selfsigned-cluster-issuer
27     kind: ClusterIssuer
28 EOF
29 
30 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready -n cert-manager certificate my-selfsigned-ca
31 
32 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
33 apiVersion: cert-manager.io/v1
34 kind: ClusterIssuer
35 metadata:
36   name: my-ca-issuer
37 spec:
38   ca:
39     secretName: root-secret
40 EOF
41 
42 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer my-ca-issuer

Verificar creación del emisor.

1 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2 apiVersion: cert-manager.io/v1
3 kind: Certificate
4 metadata:
5   name: test-selfsigned-cert
6   namespace: cert-manager
7 spec:
8   dnsNames:
9     - example.com
10   secretName: test-selfsigned-cert-tls
11   issuerRef:
12     name: my-ca-issuer
13     kind: ClusterIssuer
14 EOF
15 
16 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait -n cert-manager --for=condition=Ready certificate test-selfsigned-cert
17 
18 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" delete -n cert-manager certificate test-selfsigned-cert

Crear CA configMap.

1 mkdir -p certs
2 
3 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" get secret root-secret -n cert-manager -o jsonpath="{.data['ca\.crt']}" | base64 --decode > certs/ca.crt
4 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${MDB_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt
5 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${OM_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt

1	helm install \
2	cert-manager jetstack/cert-manager \
3	--kube-context "${K8S_CLUSTER_0_CONTEXT_NAME}" \
4	--namespace cert-manager \
5	--create-namespace \
6	--set crds.enabled=true

1	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2	apiVersion: cert-manager.io/v1
3	kind: ClusterIssuer
4	metadata:
5	name: selfsigned-cluster-issuer
6	spec:
7	selfSigned: {}
8	EOF
9
10	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer selfsigned-cluster-issuer
11
12	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
13	apiVersion: cert-manager.io/v1
14	kind: Certificate
15	metadata:
16	name: my-selfsigned-ca
17	namespace: cert-manager
18	spec:
19	isCA: true
20	commonName: my-selfsigned-ca
21	secretName: root-secret
22	privateKey:
23	algorithm: ECDSA
24	size: 256
25	issuerRef:
26	name: selfsigned-cluster-issuer
27	kind: ClusterIssuer
28	EOF
29
30	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready -n cert-manager certificate my-selfsigned-ca
31
32	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
33	apiVersion: cert-manager.io/v1
34	kind: ClusterIssuer
35	metadata:
36	name: my-ca-issuer
37	spec:
38	ca:
39	secretName: root-secret
40	EOF
41
42	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer my-ca-issuer

1	mkdir -p certs
2
3	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" get secret root-secret -n cert-manager -o jsonpath="{.data['ca\.crt']}" \| base64 --decode > certs/ca.crt
4	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${MDB_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt
5	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${OM_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt