cert-manager<\/h3>\n
cert-manager est un outil de gestion de certificats sur Kubernetes. Il d\u00e9livre des certificats \u00e0 partir de diverses sources telles que Let\u2019s Encrypt, HashiCorp Vault, Venafi, une paire de cl\u00e9s \u00e0 signature puis les pr\u00e9sente en tant que secrets aux applications.<\/p>\n
Comment pouvons nous le d\u00e9ployer sur un cluster kubernetes\u00a0?!<\/p>\n
D\u00e9ploiement de cert-manager<\/h4>\n
cert-manager est tr\u00e8s simple \u00e0 d\u00e9ployer, nous avons besoin du helm et suivre les \u00e9tapes suivantes:<\/p>\n
helm repo add jetstack https:\/\/charts.jetstack.io<\/a>
helm repo update
helm install
cert-manager jetstack\/cert-manager
--namespace cert-manager
--create-namespace
--version v1.4.0
--set installCRDs=true<\/em><\/pre>\nEt voil\u00e0 comme promis c\u2019est simple \u00e0 installer un cert-manager sur votre cluster. Maintenant, la prochaine \u00e9tape consiste \u00e0 configurer notre\u00a0Issuer.<\/p>\n
Issuers<\/h4>\n
Un Issuer est une ressource Kubernetes qui repr\u00e9sente des autorit\u00e9s de certification (CA) capables de g\u00e9n\u00e9rer des certificats. Il existe de multiples types d\u2019\u00e9metteurs de certificats, les plus importants sont les suivants:<\/p>\n
\n
- SelfSigned\u00a0<\/strong>: Les certificats seront sign\u00e9s en utilisant la m\u00eame cl\u00e9 priv\u00e9e attach\u00e9e au certificat sign\u00e9.<\/li>\n
- CA:<\/strong> Les certificats sont sign\u00e9s en utilisant une autorit\u00e9 de certification d\u00e9j\u00e0 import\u00e9e.<\/li>\n
- Vault:<\/strong> Cette option d\u00e9l\u00e8gue la signature du certificat \u00e0 vault, qui peut \u00eatre configur\u00e9e comme une\u00a0PKI.<\/li>\n
- ACME:<\/strong> ACME est l\u2019acronyme de Automated Certificate Management Environment, l\u2019un des exemples les plus connus d\u2019ACME est lets\u00a0encrypt.<\/li>\n<\/ul>\n
Configuration de\u00a0l\u2019Issuer<\/strong><\/h4>\n
apiVersion: cert-manager.io\/v1alpha2
kind: Issuer
metadata:
name: selfsigned-issuer
namespace: opendistro
spec:
selfSigned: {}<\/pre>\nCertificate<\/strong><\/h4>\n
Les certificats sont \u00e9galement des ressources Kubernetes, cette ressource se base sur un Issuer pour \u00eatre g\u00e9n\u00e9r\u00e9e. Une fois cr\u00e9\u00e9s, le cert- manager va \u00e9tablir des secrets kubernetes pour stocker ces certificats qui seront pr\u00e9sent\u00e9s aux applications par la\u00a0suite.<\/p>\n
Pour g\u00e9n\u00e9rer les certificats pour notre OpenDistro, nous devons passer un manifeste kubernetes avec les options suivantes\u00a0:<\/p>\n
apiVersion: cert-manager.io\/v1
kind: Certificate
metadata:
name: es-transport-tls
namespace: opendistro
spec:
isCA: true
duration: 2160h # 90d 2160h
renewBefore: 168h # 7d 168h
commonName: es-client
dnsNames:
- es-client
privateKey:
algorithm: RSA
encoding: PKCS8
size: 4096
issuerRef:
kind: Issuer
name: selfsigned-issuer
secretName: es-transport-tls<\/pre>\nNe vous inqui\u00e9tez pas, nous allons expliquer par la suite certaines options qui ne sont pas explicites:
commonName:<\/strong> Il doit \u00eatre identique \u00e0 la valeur de node_dn dans la configuration d\u2019OpenDistro.
encoding:<\/strong> par d\u00e9faut cert-manager g\u00e9n\u00e8re des privatekeys au format PKCS11 qui n\u2019est pas support\u00e9 par OpenDistro, donc nous devons le changer en PKCS8.
secretName:<\/strong> le nom du secret Kubernetes o\u00f9 le certificat et la cl\u00e9 priv\u00e9e seront\u00a0stock\u00e9s.<\/p>\nConfiguration d\u2019OpenDistro\u00a0:<\/h4>\n
Pour OpenDistro la configuration ainsi que le reste de l\u2019installation resteront les m\u00eames \u00e0 l\u2019exception de quelques options li\u00e9es aux noms des certificats.<\/p>\n
......
elasticsearch:
......
tls:
existingCertSecret: es-transport-tls
existingCertSecretCertSubPath: tls.crt
existingCertSecretKeySubPath: tls.key
existingCertSecretRootCASubPath: ca.crt
.........<\/pre>\nComme les cl\u00e9s secr\u00e8tes sont modifi\u00e9es, nous devons adapter la configuration. Pour le reste de l\u2019installation, elle restera la\u00a0m\u00eame.<\/p>\n
Une fois la modification est faite, vous pouvez proc\u00e9der \u00e0 l\u2019installation\u00a0:<\/p>\n
helm upgrade --install
-n opendistro <release_name> -f values.yaml
\/opendistro-build\/helm\/opendistro-es<\/pre>\n\u00e0 la fin de cet article, j\u2019esp\u00e8re que ce sujet vous a \u00e9t\u00e9 utile et comme d\u2019habitude, veuillez trouver tous les fichiers de la configuration n\u00e9cessaires sur mon\u00a0github.<\/p>\n