PKI 安全 API 使用 Kubernetes 自定义资源,并依赖于 Kubernetes 资源模型 (KRM)。它用于管理和配置 Web 证书,以保护 Google Distributed Cloud (GDC) 气隙环境中的 Web 端点。
服务端点和发现文档
PKI Security API 的 API 端点为 https://GDC_API_SERVER_ENDPOINT/apis/pki.security.gdc.goog/v1,其中 MANAGEMENT_API_SERVER_ENDPOINT 是 Management API 服务器的端点。
使用 kubectl proxy 命令,您可以在浏览器中或使用 curl 等工具访问 API 端点网址,以获取 PKI 安全 API 的发现文档。kubectl proxy 命令会在本地机器上打开一个指向 Kubernetes API 服务器的代理。该命令运行后,您可以通过以下网址访问文档:http://127.0.0.1:8001/apis/pki.security.gdc.goog/v1。
PKI 自带证书颁发机构示例
以下是自带 (BYO) 证书颁发者的 PKI 安全示例:
apiVersion: pki.security.gdc.goog/v1
kind: CertificateIssuer
metadata:
name: byo-cert-issuer
namespace: pki-system
labels:
pki.security.gdc.goog/is-default-issuer: "true"
spec:
byoCertConfig:
fallbackCertificateAuthority:
name: default-web-tls-ca
namespace: pki-system