Самозаверяющие сертификаты подходят для проверки веб-хуков в Kubernetes?

Я пытаюсь понять последствия для безопасности использования самозаверяющих сертификатов для проверяющего веб-перехватчика Kubernetes.

Если я правильно понимаю, сертификат просто используется для обслуживания проверяющего сервера веб-перехватчиков через https. Когда API-сервер Kubernetes получает запрос, соответствующий конфигурации для проверяющего веб-перехватчика, он сначала проверяет проверяющий сервер веб-перехватчика через https. Если ваш проверяющий сервер веб-перехватчиков находится в кластере Kubernetes (не является внешним), то весь этот трафик является внутренним для кластера Kubernetes. Если это так, проблематично ли, что сертификат является самозаверяющим?


kubernetes ssl-certificate webhooks self-signed-certificate
person user215997    schedule 02.02.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Если я правильно понимаю, сертификат просто используется для обслуживания проверяющего сервера веб-перехватчиков через https.

В основном да.

Если ваш проверяющий сервер веб-перехватчиков находится в кластере Kubernetes (не является внешним), то весь этот трафик является внутренним для кластера Kubernetes. Если это так, проблематично ли, что сертификат является самозаверяющим?

Если процесс выдачи осуществляется правильно и безопасно, самозаверяющие сертификаты вообще не должны быть проблемой. Сравните с этим примером.

person mario    schedule 03.02.2021
comment
@ user215997 Это отвечает на ваш вопрос? - person Wytrzymały Wiktor; 04.02.2021
comment
что я слышу тогда, так это то, что запускать производственное развертывание, как это, нормально, и что я не открываю себя для каких-либо проблем с безопасностью - это правда? - person user215997; 06.02.2021
comment
Конечно, если он служит для внутренней связи, не имеет большого значения, является ли он самозаверяющим сертификатом или сертификатом, подписанным каким-либо доверенным органом. Таким же образом шифруется трафик. - person mario; 08.02.2021