Questa pagina descrive i diversi metodi per proteggere i gateway in Google Kubernetes Engine (GKE). Puoi anche scoprire come proteggere un gateway.
Come funziona la sicurezza del gateway
Un gateway rappresenta il frontend di un bilanciatore del carico. Esistono due percorsi che puoi proteggere con l'autenticazione e la crittografia per i gateway:
- Da client a gateway: il traffico proviene dal client e termina alla Gateway.
- Gateway del pod: il traffico proviene dal gateway e terminato al di backend.
Il seguente diagramma mostra entrambi i percorsi per autenticare e criptare i gateway:
Questa pagina descrive come proteggere il percorso del client al gateway utilizzando i certificati caricati e gestiti a livello di gateway. Per scoprire come proteggere il traffico dal gateway ai pod, consulta Proteggere il traffico dall'equilibrio del carico all'applicazione utilizzando TLS.
Vantaggi
Puoi proteggere un'applicazione in molti modi diversi utilizzando l'API Gateway, il che offre flessibilità ai diversi ruoli che interagiscono Gateway.
Chi è il proprietario del dominio e della configurazione TLS?
Il modello di API Gateway introduce due ruoli che utilizzano i gateway o ne eseguono il deployment:
- Amministratore piattaforma: l'operatore del cluster è l'amministratore dell'intera infrastruttura cluster. Gestiscono i criteri, l'accesso alla rete e le autorizzazioni delle applicazioni.
- Sviluppatore di applicazioni: lo sviluppatore definisce la propria applicazione e la configurazione del servizio.
Il seguente diagramma mostra i campi delle risorse Gateway e HTTPRoute
che influenzano il TLS e la proprietà del dominio per due applicazioni, store-v1
e
store-v2
.
Nel diagramma, l'operatore del cluster controlla:
- Quali domini gli sviluppatori di applicazioni possono utilizzare per le loro app in ogni spazio dei nomi.
- I certificati specifici che terminano i diversi domini.
- Certificati forniti dal proprietario del gateway.
- Indica se i proprietari di HTTPRoute possono specificare i propri nomi host per la generazione del certificato.
Gli sviluppatori di applicazioni controllano il nome host che genera un certificato, se la definizione del gateway lo consente.
Questa separazione delle attività operative consente agli sviluppatori di applicazioni e gestire il proprio HTTPRoute per un controllo più distribuito e consentire alla piattaforma gli amministratori eseguono il deployment e gestiscono i gateway per un controllo centralizzato di TLS.
Gestione dei certificati del gateway
Puoi proteggere i gateway utilizzando uno dei seguenti metodi:
Se utilizzi i secret di Kubernetes o le risorse SslCertificate
del
Nell'API Compute Engine, puoi collegare al massimo 15 certificati a un singolo gateway.
Certificate Manager ti consente di collegare fino a 10.000.000 di certificati per bilanciatore del carico, se richiedi un aumento della quota.
Per saperne di più sui certificati SSL di Google Cloud, consulta Panoramica dei certificati SSL.
Secret di Kubernetes
La
specifica dell'API Gateway supporta
Kubernetes Secrets per archiviare e allegare i certificati ai gateway. Puoi associare uno o più secret Kubernetes a un gateway utilizzando il campo Gateway.spec.tls.certificateRef
.
Le risorse del gateway protette tramite i secret di Kubernetes hanno quanto segue requisiti:
- Devi impostare l'ascoltatore del gateway
port
eprotocol
su443
eHTTPS
. - Devi impostare il campo
listener.tls.mode
suTerminate
. - Devi fare riferimento alle credenziali TLS nel blocco
listeners.tls
.
Le risorse del gateway protette tramite i secret di Kubernetes hanno quanto segue limitazioni:
- Solo i listener HTTPS terminano il traffico utilizzando i Secret specificati, sebbene puoi specificare più listener con una combinazione di HTTP e HTTPS.
- Se hai più listener che utilizzano HTTPS sullo stesso gateway, ogni listener deve avere un nome host univoco.
- Puoi omettere un solo nome host o assegnare
*
per ogni coppia di porta e protocollo. - Puoi assegnare un solo certificato predefinito per ciascun gateway.
Per scoprire come proteggere un gateway utilizzando un secret di Kubernetes, vedi Proteggi un gateway utilizzando un secret di Kubernetes.
Certificati SSL
I certificati SSL memorizzano e inviano i certificati ai bilanciatori del carico.
Un certificato SSL può essere autogestito o gestito da Google.
Per saperne di più sulle differenze tra questi due tipi di certificati, consulta Panoramica dei certificati SSL.
L'ambito e la posizione del certificato SSL devono corrispondere all'ambito e alla posizione del gateway che lo utilizza.
Ad esempio, un certificato SSL globale non non potrà essere usato da un gateway regionale.
La tabella seguente elenca i requisiti di ambito e posizione dei certificati SSL per ogni GatewayClass:
GatewayClass | Ambito del certificato SSL | Posizione del certificato SSL |
---|---|---|
gke-l7-global-external-managed |
Certificato SSL globale | Globale |
gke-l7-global-external-managed-mc |
||
gke-l7-gxlb |
||
gke-l7-gxlb-mc |
||
gke-l7-regional-external-managed |
Certificato SSL a livello di regione | Deve essere la stessa regione del gateway |
gke-l7-regional-external-managed-mc |
||
gke-l7-rilb |
||
gke-l7-rilb-mc |
Per scoprire come proteggere un gateway utilizzando un certificato SSL, consulta Proteggere un gateway utilizzando un certificato SSL.
Gestore certificati
Gestore certificati è una una posizione centralizzata per gestire i tuoi certificati TLS.
Quando proteggi un gateway utilizzando Gestione certificati, puoi segui questi passaggi:
- Fai riferimento a un
CertificateMap
direttamente da un gateway che hai creato in Gestore dei certificati. - Gestisci i tuoi certificati.
- Migliora i tempi di propagazione dei certificati.
- Utilizza Cloud Monitoring per i certificati scaduti e la propagazione dei certificati.
Gestore dei certificati supporta sia i certificati SSL autogestiti sia quelli gestiti da Google.
Per scoprire come proteggere un gateway utilizzando Certificate Manager, consulta Proteggere un gateway utilizzando Certificate Manager.
Supporto TLS GatewayClass
La tabella seguente descrive i metodi di terminazione TLS supportati da GKE per ogni GatewayClass:
GatewayClass |
gke-l7-global-external-managed gke-l7-global-external-managed-mc gke-l7-gxlb gke-l7-gxlb-mc
|
gke-l7-regional-external-managed gke-l7-regional-external-managed-mc gke-l7-rilb gke-l7-rilb-mc
|
---|---|---|
TLS da client a gateway | Supportato | Supportato |
Gateway TLS backend | Elemento supportato | Supportato |
Risorsa certificato Google Cloud | Certificato SSL globaleCertificateMap |
Certificato SSL a livello di regione |
Certificati autogestiti con Kubernetes Secrets | Elemento supportato | Elemento supportato |
Certificati SSL Compute Engine autogestiti | Elemento supportato | Supportato |
Certificati SSL Compute Engine gestiti da Google | Elemento supportato | Non supportato |
Certificati SSL autogestiti con Gestore certificati | Supportato | Elemento supportato |
Certificati SSL gestiti da Google con Gestore certificati | Elemento supportato | Elemento supportato |
Passaggi successivi
- Scopri come Proteggi un gateway.