Entidad de certificación (CA) personalizada en Azure Kubernetes Service (AKS) (versión preliminar)

En este artículo se muestra cómo crear entidades de certificación personalizadas y aplicarlas a los clústeres de AKS.

Prerrequisitos

• Suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita.
• CLI de Azure instalada (versión 2.43.0 o posterior).
• Cadena de certificado codificada en base64 o un archivo de texto con certificado.

Limitaciones

• Actualmente, esta característica no se admite para grupos de nodos de Windows.

Instalación de la extensión de la CLI de Azure aks-preview

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

• Directivas de soporte técnico para AKS
• Preguntas más frecuentes de Soporte técnico de Azure

1. Instale la extensión aks-preview mediante el comando az extension add.

   Azure CLI

   az extension add --name aks-preview
   

2. Actualiza a la última versión de la extensión mediante el comando az extension update.

   Azure CLI

   az extension update --name aks-preview
   

Registro de la marca de característica CustomCATrustPreview

1. Registre la marca de características de CustomCATrustPreview mediante el comando az feature register.

   Azure CLI

   az feature register --namespace "Microsoft.ContainerService" --name "CustomCATrustPreview"
   

   Tarda unos minutos en que el estado muestre Registrado.

2. Comprobar el estado del registro mediante el comando az feature show.

   Azure CLI

   az feature show --namespace "Microsoft.ContainerService" --name "CustomCATrustPreview"
   

3. Cuando aparezca el estado Registrado, actualice el registro del proveedor de recursos Microsoft.ContainerService mediante el comando az provider register.

   Azure CLI

   az provider register --namespace Microsoft.ContainerService
   

Instalación de una entidad de certificación personalizada en grupos de nodos de AKS

Instalación de entidades de certificación en grupos de nodos de AKS

• Si el entorno requiere que las entidades de certificación personalizadas se agreguen al almacén de confianza del nodo para el aprovisionamiento correcto, debe pasar un archivo de texto que contenga hasta diez certificados separados por línea en blanco durante las operaciones az aks create o az aks update. Archivo de texto de ejemplo:

  txt

  -----BEGIN CERTIFICATE-----
  cert1
  -----END CERTIFICATE-----
  
  -----BEGIN CERTIFICATE-----
  cert2
  -----END CERTIFICATE-----
  

Creación de una entidad de certificación durante el arranque del grupo de nodos

• Instale CA durante la creación del grupo de nodos mediante el comando az aks create y especifique el archivo de texto para el parámetro --custom-ca-trust-certificates.

  Azure CLI

  az aks create \
      --resource-group <resource-group-name> \
      --name <cluster-name> \
      --node-count 2 \
      --enable-custom-ca-trust \
      --custom-ca-trust-certificates pathToFileWithCAs \
      --generate-ssh-keys
  

Rotación de entidades de certificación para disponibilidad durante el arranque del grupo de nodos

• Actualice las entidades de certificación que se pasan al clúster durante el arranque mediante el comando az aks update y al especificar el archivo de texto para el parámetro --custom-ca-trust-certificates.

  Azure CLI

  az aks update \
      --resource-group <resource-group-name> \
      --name <cluster-name> \
      --custom-ca-trust-certificates pathToFileWithCAs
  

  Nota

  Esta operación desencadena una actualización del modelo, lo que garantiza que los nuevos nodos tengan las entidades de certificación más recientes y necesarias para el aprovisionamiento correcto. AKS crea nodos adicionales, purga los existentes, los elimina y los reemplaza con los nodos que tienen el nuevo conjunto de entidades de certificación instaladas.

Instalación de entidades de certificación después de la creación del grupo de nodos

Si el entorno se puede aprovisionar correctamente sin las entidades de certificación personalizadas, puede proporcionar las entidades de certificación mediante la implementación de un secreto en el espacio de nombres kube-system. Este enfoque permite la rotación de certificados sin necesidad de recreación de nodos.

• Cree un manifiesto YAML secreto de Kubernetes con la cadena de certificado codificada en base64 en el campo data.

  YAML

  apiVersion: v1
  kind: Secret
  metadata: 
      name: custom-ca-trust-secret
      namespace: kube-system
  type: Opaque
  data:
      ca1.crt: |
        {base64EncodedCertStringHere}
      ca2.crt: |
        {anotherBase64EncodedCertStringHere}
  

  Los datos de este secreto se usan para actualizar la CA en todos los nodos. Asegúrese de que el secreto se llama custom-ca-trust-secret y se crea en el espacio de nombres kube-system. La instalación de entidades de certificación mediante el secreto en el espacio de nombres kube-system permite la rotación de entidades de certificación sin la necesidad de volver a crear nodos. Para actualizar o quitar una CA, puede edita y aplicar el manifiesto de YAML. El clúster sondea los cambios y actualiza los nodos en consecuencia. Esto puede tardar un par de minutos en aplicar los cambios.

  Nota

  Es posible que sea necesario reiniciar containerd en el nodo para que las entidades de certificación se recojan correctamente. Si parece que las entidades de certificación no se agregan correctamente al almacén de confianza del nodo, puede desencadenar un reinicio mediante el siguiente comando desde el shell del nodo:

  systemctl restart containerd

Configuración de un nuevo clúster de AKS para usar una entidad de certificación personalizada

• Para configurar un nuevo clúster de AKS para que use una entidad de certificación personalizada, use el comando az aks create con el parámetro --enable-custom-ca-trust.

  Azure CLI

  az aks create \
      --resource-group <resource-group-name> \
      --name <cluster-name> \
      --node-count 2 \
      --enable-custom-ca-trust \
      --generate-ssh-keys
  

Configure un clúster de AKS para usar una entidad de certificación personalizada con las entidades de certificación instaladas antes de que el nodo arranque.

• Para configurar un nuevo clúster de AKS para usa una entidad de certificación personalizada con entidades de certificación instaladas antes de que el nodo arranque, use el comando az aks create con los parámetros --enable-custom-ca-trust y --custom-ca-trust-certificates.

  Azure CLI

  az aks create \
      --resource-group <resource-group-name> \
      --name <cluster-name> \
      --node-count 2 \
      --enable-custom-ca-trust \
      --custom-ca-trust-certificates pathToFileWithCAs \
      --generate-ssh-keys
  

Configuración de un clúster de AKS existente para tener instaladas entidades de certificación personalizadas antes de que el nodo arranque

• Para configurar un clúster de AKS existente para que las entidades de certificación personalizadas se agreguen al almacén de confianza del nodo antes de que se inicie, use el comando az aks update con el parámetro --custom-ca-trust-certificates.

  Azure CLI

  az aks update \
      --resource-group <resource-group-name> \
      --name <cluster-name> \
      --custom-ca-trust-certificates pathToFileWithCAs
  

Configuración de un nuevo grupo de nodos para usar una entidad de certificación personalizada

• Para configurar un nuevo grupo de nodos para usar una entidad de certificación personalizada, use el comando az aks nodepool add con el parámetro --enable-custom-ca-trust.

  Azure CLI

  az aks nodepool add \
      --cluster-name <cluster-name> \
      --resource-group <resource-group-name> \
      --name <node-pool-name> \
      --enable-custom-ca-trust \
      --os-type Linux
  

  Si no existe ningún otro grupo de nodos con la característica habilitada, el clúster tiene que conciliar su configuración para que los cambios surtan efecto. Esta operación se realiza automáticamente como parte del bucle de conciliación de AKS. Antes de la operación, el conjunto de demonios y los pods no aparecen en el clúster. Puede desencadenar una operación de conciliación inmediata mediante el comando az aks update. El conjunto de demonios y los pods aparecen una vez completada la actualización.

Configuración de un grupo de nodos existente para usar una entidad de certificación personalizada

• Para configurar un grupo de nodos existente para usar una entidad de certificación personalizada, use el comando az aks nodepool update con el parámetro --enable-custom-ca-trust.

  Azure CLI

  az aks nodepool update \
      --resource-group <resource-group-name> \
      --cluster-name <cluster-name> \
      --name <node-pool-name> \
      --enable-custom-ca-trust
  

  Si no existe ningún otro grupo de nodos con la característica habilitada, el clúster tiene que conciliar su configuración para que los cambios surtan efecto. Esta operación se realiza automáticamente como parte del bucle de conciliación de AKS. Antes de la operación, el conjunto de demonios y los pods no aparecen en el clúster. Puede desencadenar una operación de conciliación inmediata mediante el comando az aks update. El conjunto de demonios y los pods aparecen una vez completada la actualización.

Deshabilitación de una entidad de certificación personalizada en un grupo de nodos

• Deshabilite la característica de entidad de certificación personalizada en un grupo de nodos existente mediante el comando az aks nodepool update con el parámetro --disable-custom-ca-trust.

  Azure CLI

  az aks nodepool update \
      --resource-group <resource-group-name> \
      --cluster-name <cluster-name> \
      --name <node-pool-name> \
      --disable-custom-ca-trust
  

Solución de problemas

La característica está habilitada y se agrega el secreto con entidades de certificación, pero se producen errores en las operaciones con el certificado X.509 firmado por un error de entidad desconocida.

Certificados con formato incorrecto pasados en el secreto

AKS requiere que los certificados pasados en el secreto creado por el usuario tenga el formato correcto y la codificación base64. Asegúrese de que las entidades de certificación que ha pasado están codificadas correctamente en base64 y que los archivos con entidades de certificación no tienen saltos de línea CRLF. Los certificados pasados a --custom-ca-trust-certificates no deben estar codificados en base64.

containerd no ha recogido nuevos certificados

En el shell del nodo, ejecute systemctl restart containerd. Una vez reiniciado containerd, el tiempo de ejecución del contenedor recoge adecuadamente los nuevos certificados.

Pasos siguientes

Para obtener más información sobre los procedimientos recomendados de seguridad de AKS, puede consultar los Procedimientos recomendados para administrar la seguridad y las actualizaciones de los clústeres en Azure Kubernetes Service (AKS).