Certificados TLS

El MongoDB Enterprise Kubernetes Operator está en desuso. El nuevo Controladores MongoDB para Kubernetes operador sustituye al MongoDB Enterprise Kubernetes operador. La primera versión de los Controladores para Kubernetes operador es funcionalmente equivalente a la v1.33 de MongoDB Enterprise Kubernetes Operator. Para obtener más información sobre este cambio y una orientación sobre cómo migrar al nuevo operador, consulta las notas de la versión para la primera nueva versión. No habrá futuras versiones de MongoDB Enterprise Kubernetes Operator. Cada versión llegará al final de su vida útil según el plan vigente de un año. política de soporte. Por favor, migre a los Controladores para Kubernetes operador para obtener soporte continuo.

Esta sección proporciona orientación sobre la creación de certificados TLS para cada componente de MongoDB y la creación de secretos de Kubernetes en cada uno de los clústeres de Kubernetes para montar de forma segura los certificados TLS en los Pods de Kubernetes adecuados.

El proceso que se describe a continuación utiliza Cert Manager para crear los certificados TLS. Sin embargo, tenga en cuenta que esta es una guía con opiniones, y CertManager no está respaldado por MongoDB. Además, CertManager es solo una de las numerosas formas en las que puedes agregar certificados TLS a tus clústeres de Kubernetes. Además, los certificados autofirmados pueden no ser adecuados para implementaciones en producción, dependiendo de los requisitos de seguridad de su organización. Si requiere certificados de confianza pública, por favor configure su Emisor en consecuencia o proporcione el certificado TLS directamente. Para aprender más, consulta Configura una integración de cert-manager.

Requisitos previos

Antes de empezar, realiza las siguientes tareas:

Instalar kubectl.
Instala Helm.
Establece las variables de entorno K8S_CLUSTER_*_CONTEXT_NAME como se explica en la Guía de clústeres GKE.

Código fuente

Se puede encontrar todo el código fuente incluido en el repositorio de MongoDB Kubernetes operador.

Procedimiento

Agrega el repositorio de gráficas de Helm.

1 helm repo add jetstack https://charts.jetstack.io --force-update

Usar Helm para instalar cert-manager.

1 helm install \
2   cert-manager jetstack/cert-manager \
3   --kube-context "${K8S_CLUSTER_0_CONTEXT_NAME}" \
4   --namespace cert-manager \
5   --create-namespace \
6   --set crds.enabled=true

Crear un emisor de certificados.

1 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2 apiVersion: cert-manager.io/v1
3 kind: ClusterIssuer
4 metadata:
5   name: selfsigned-cluster-issuer
6 spec:
7   selfSigned: {}
8 EOF
9 
10 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer selfsigned-cluster-issuer
11 
12 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
13 apiVersion: cert-manager.io/v1
14 kind: Certificate
15 metadata:
16   name: my-selfsigned-ca
17   namespace: cert-manager
18 spec:
19   isCA: true
20   commonName: my-selfsigned-ca
21   secretName: root-secret
22   privateKey:
23     algorithm: ECDSA
24     size: 256
25   issuerRef:
26     name: selfsigned-cluster-issuer
27     kind: ClusterIssuer
28 EOF
29 
30 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready -n cert-manager certificate my-selfsigned-ca
31 
32 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
33 apiVersion: cert-manager.io/v1
34 kind: ClusterIssuer
35 metadata:
36   name: my-ca-issuer
37 spec:
38   ca:
39     secretName: root-secret
40 EOF
41 
42 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer my-ca-issuer

Verificar la creación del emisor.

1 kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2 apiVersion: cert-manager.io/v1
3 kind: Certificate
4 metadata:
5   name: test-selfsigned-cert
6   namespace: cert-manager
7 spec:
8   dnsNames:
9     - example.com
10   secretName: test-selfsigned-cert-tls
11   issuerRef:
12     name: my-ca-issuer
13     kind: ClusterIssuer
14 EOF
15 
16 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait -n cert-manager --for=condition=Ready certificate test-selfsigned-cert
17 
18 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" delete -n cert-manager certificate test-selfsigned-cert

Crear CA configMap.

1 mkdir -p certs
2 
3 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" get secret root-secret -n cert-manager -o jsonpath="{.data['ca\.crt']}" | base64 --decode > certs/ca.crt
4 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${MDB_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt
5 kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${OM_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt

1	helm install \
2	cert-manager jetstack/cert-manager \
3	--kube-context "${K8S_CLUSTER_0_CONTEXT_NAME}" \
4	--namespace cert-manager \
5	--create-namespace \
6	--set crds.enabled=true

1	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
2	apiVersion: cert-manager.io/v1
3	kind: ClusterIssuer
4	metadata:
5	name: selfsigned-cluster-issuer
6	spec:
7	selfSigned: {}
8	EOF
9
10	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer selfsigned-cluster-issuer
11
12	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
13	apiVersion: cert-manager.io/v1
14	kind: Certificate
15	metadata:
16	name: my-selfsigned-ca
17	namespace: cert-manager
18	spec:
19	isCA: true
20	commonName: my-selfsigned-ca
21	secretName: root-secret
22	privateKey:
23	algorithm: ECDSA
24	size: 256
25	issuerRef:
26	name: selfsigned-cluster-issuer
27	kind: ClusterIssuer
28	EOF
29
30	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready -n cert-manager certificate my-selfsigned-ca
31
32	kubectl apply --context "${K8S_CLUSTER_0_CONTEXT_NAME}" -f - <<EOF
33	apiVersion: cert-manager.io/v1
34	kind: ClusterIssuer
35	metadata:
36	name: my-ca-issuer
37	spec:
38	ca:
39	secretName: root-secret
40	EOF
41
42	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" wait --for=condition=Ready clusterissuer my-ca-issuer

1	mkdir -p certs
2
3	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" get secret root-secret -n cert-manager -o jsonpath="{.data['ca\.crt']}" \| base64 --decode > certs/ca.crt
4	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${MDB_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt
5	kubectl --context "${K8S_CLUSTER_0_CONTEXT_NAME}" create cm ca-issuer -n "${OM_NAMESPACE}" --from-file=ca-pem=certs/ca.crt --from-file=mms-ca.crt=certs/ca.crt