Condividi tramite

Implementazione dell'infrastruttura PKI nexus dell'operatore di Azure

Azure Operator Nexus distribuisce un'infrastruttura a chiave pubblica (PKI) in ogni cluster. Ogni cluster gestisce una gerarchia di autorità di certificazione autofirmati che non lascia mai il sito, assicurando che la fiducia crittografica sia isolata per ogni distribuzione. Questo isolamento riduce al minimo l'impatto di qualsiasi compromissione.

Panoramica dell'architettura PKI

  • Limite di attendibilità per cluster: ogni istanza Di Azure Operator Nexus effettua il provisioning di una CA radice indipendente. Non esiste alcuna CA condivisa tra cluster e i certificati non vengono mai riutilizzati tra siti.
  • Rilascio autonomo: il rilascio e il rinnovo dei certificati vengono eseguiti in locale all'interno del piano di controllo Kubernetes. I certificati non vengono richiesti da servizi PKI esterni o centralizzati.
  • Autorità emittenti specifiche dello scopo: gli emittenti intermedi dedicati firmano certificati per carichi di lavoro distinti (console gestite dall'utente e servizi interni) per ridurre al minimo l'ambito dei privilegi.

Questa architettura consente ai clienti di operare in ambienti disconnessi o semiconnessi mantenendo al tempo stesso i vantaggi dell'autenticazione TLS, della crittografia in transito e della verificabilità crittografica.

Gestione dei certificati con cert-manager

Operatore Nexus di Azure si basa su cert-manager per automatizzare i cicli di vita dei certificati:

  • Gli oggetti emittenti sono definiti per ogni uso del certificato (accesso all'interfaccia, servizi interni e altri carichi di lavoro specializzati).
  • Risorse certificato richiedono certificati di foglia dall'autorità emittente appropriata, inclusi i nomi alternativi del soggetto richiesti dai componenti della piattaforma.
  • L'automazione del rinnovo è guidata da cert-manager, che rinnova i certificati foglia prima della scadenza e li ruota in modo trasparente attraverso la piattaforma.
  • La distribuzione dei segreti ai pod e ai servizi viene gestita tramite segreti Kubernetes e volumi proiettati, assicurando che i carichi di lavoro presentino sempre certificati validi.

Rotazione e durata dei certificati

  • Rotazione automatica: cert-manager rinnova i certificati prima della scadenza in base alle impostazioni delle Certificate risorse , ad esempio duration e renewBefore.
  • Durata del certificato predefinita: la maggior parte dei certificati TLS foglia Nexus dell'operatore di Azure viene rilasciata per 70 giorni.
  • Eccezioni: alcuni componenti usano durate diverse.
    • Snapshotter etcd: rilascia certificati client e server con una durata di 1 anno .
    • Servizio token: rilascia i certificati ca e server con una durata di 3 anni .
  • Finestra di rinnovo: i certificati vengono in genere rinnovati circa 23 giorni prima della scadenza.

Importante

Se un certificato TLS scade, i client che convalidano TLS rifiutano la connessione. Alcuni strumenti rivolti agli utenti consentono di ignorare la convalida (ad esempio, un click-through del browser), ma i servizi della piattaforma richiedono la convalida per rimanere aggiornati. Rinnovare il certificato in modo che i carichi di lavoro rilevino il segreto aggiornato.

Avvertimento

iDRAC prevede una durata del certificato di 60 giorni e genera avvisi in prossimità della scadenza. Ciò è diverso dalla durata della piattaforma di 70 giorni ed è in fase di revisione. Il rinnovo del certificato inizia attualmente circa 13 giorni prima della scadenza prevista per iDRAC.

Poiché tutto il rilascio è in cluster, gli operatori mantengono il controllo completo sull'infrastruttura di attendibilità senza dipendere dalla connettività o dai servizi esterni.

Gerarchia dell'emittente

Due emittenti primari sono distribuiti per ogni cluster per allinearsi ai diversi requisiti di fiducia delle interfacce ad operazione umana e dei carichi di lavoro dei servizi.

Emettitore dell'interfaccia

  • Scopo: firma i certificati TLS usati dalle interfacce delle risorse, inclusi gli endpoint di gestione di BMC/iDRAC delle macchine bare metal e degli appliance di archiviazione.
  • Ambito: solo i certificati per gli endpoint di gestione.
  • Rotazione: cert-manager rinnova i certificati dell'interfaccia prima della loro scadenza. Questi certificati vengono in genere emessi per 70 giorni e rinnovati prima della scadenza.

Emittente di certificati infrastrutturali

  • Scopo: rilascia certificati per i microservizi della piattaforma e le API da servizio a servizio.
  • Ambito: servizi webhook interni e altri carichi di lavoro della piattaforma.
  • Rotazione: i certificati vengono ruotati automaticamente. Questi certificati vengono in genere emessi per 70 giorni e rinnovati prima della scadenza.

Scenari di utilizzo dei certificati

Scenario Emittente Esempio di consumatori Obiettivo di attendibilità
Accesso alla gestione fuori banda Interfaccia Console iDRAC, dashboard del dispositivo di archiviazione, interfacce d'emergenza Fornire percorsi di accesso umano crittografati e autenticati
Traffico del piano di controllo della piattaforma Infra webhook di ammissione, microservizi della piattaforma Verificare la comunicazione da servizio a servizio crittografata e l'autenticazione reciproca

Visualizzazione di certificati e hash della CA

Gli operatori spesso devono verificare che gli endpoint TLS presentino il certificato ca previsto e l'impronta digitale. Azure Operator Nexus espone queste informazioni tramite il portale di Azure e Azure CLI.

Annotazioni

La visualizzazione dei metadati del certificato della CA richiede la versione dell'API Azure Operator Nexus 2025-09-01 o successiva.

Risorse delle macchine "bare metal"

  1. Portale di Azure:

    1. Passare a Azure Operator Nexus > macchine bare metal.
    2. Apri la risorsa della macchina bare metal di destinazione.
    3. Selezionare Visualizzazione JSON.
    4. Selezionare 2025-09-01 o versione successiva dell'API.
    5. Esaminare il valore del certificato CA e l'hash SHA-256 dell'autorità di certificazione che ha firmato il certificato TLS attivo.

  2. Interfaccia della riga di comando di Azure:

    az networkcloud baremetalmachine show \
  --subscription <subscription>
  --resource-group <cluster-managed-resource-group> \
  --name <bareMetalMachineName> \
  --query "caCertificate" \
  --output tsv

    Questo comando restituisce il certificato CA con codifica PEM che ha emesso il certificato TLS corrente e il relativo hash SHA-256 (impronta digitale) per un confronto rapido con valori attendibili.

Risorse dell'apparecchio di archiviazione

  1. Portale di Azure:

    1. Passare a >.
    2. Aprire la risorsa dell'appliance di archiviazione di destinazione.
    3. Selezionare Visualizzazione JSON.
    4. Selezionare 2025-09-01 o versione successiva dell'API.
    5. Esaminare il valore del certificato CA e l'hash SHA-256 dell'autorità di certificazione che ha firmato il certificato TLS attivo.

  2. Interfaccia della riga di comando di Azure:

    az networkcloud storageappliance show \
  --subscription <subscription>
  --resource-group <cluster-managed-resource-group> \
  --name <storageApplianceName> \
  --query "caCertificate" \
  --output tsv

Contenuti correlati

PKI è un componente della sicurezza Nexus dell'operatore di Azure. Il sistema PKI funziona con questi meccanismi di rotazione delle credenziali per fornire l'autenticazione completa e la crittografia nella piattaforma.

  • Last updated on