Implementacja infrastruktury kluczy publicznych Azure Operator Nexus

Operator platformy Azure Nexus wdraża infrastrukturę kluczy publicznych w klastrze (PKI) w każdym klastrze. Każdy klaster obsługuje hierarchię urzędu certyfikacji (CA) z własnym podpisem, która nigdy nie opuszcza miejsca, zapewniając, że zaufanie kryptograficzne jest izolowane dla każdego wdrożenia. Ta izolacja minimalizuje wpływ naruszenia zabezpieczeń.

Omówienie architektury PKI

• Granica zaufania dla klastra: każde wystąpienie operatora platformy Azure Nexus aprowizuje niezależny główny urząd certyfikacji. Nie ma współdzielonego urzędu certyfikacji (CA) w klastrach, a certyfikaty nigdy nie są używane między witrynami.
• Samodzielne wystawianie: wystawianie i odnawianie certyfikatów odbywa się lokalnie w płaszczyźnie sterowania Kubernetes. Certyfikaty nie są wymagane z usług zewnętrznych ani scentralizowanych usług PKI.
• Wystawcy specyficzni dla określonego celu: Dedykowani wystawcy pośrednicy podpisują certyfikaty dla różnych zadań (konsol obsługiwanych ręcznie i usług wewnętrznych), dla zminimalizowania zakresu uprawnień.

Ta architektura umożliwia klientom działanie w środowiskach odłączonych lub częściowo połączonych przy zachowaniu korzyści związanych z uwierzytelnianiem TLS, szyfrowaniem podczas przesyłania i inspekcją kryptograficzną.

Zarządzanie certyfikatami za pomocą menedżera certyfikatów

Operator platformy Azure Nexus korzysta z menedżera certyfikatów w celu zautomatyzowania cykli życia certyfikatów:

• Obiekty wystawcy są definiowane dla każdego celu certyfikatu (dostęp do interfejsu, usługi wewnętrzne i inne wyspecjalizowane obciążenia).
• Zasoby certyfikatów żądają certyfikatów liści od odpowiedniego wystawcy, w tym alternatywnych nazw podmiotów (SAN) wymaganych przez składniki platformy.
• Automatyzacja odnawiania jest sterowana przez cert-manager, który odnawia certyfikaty liści przed wygaśnięciem i wymienia je w sposób niewidoczny na całej platformie.
• Dystrybucja sekretów do zasobników i usług jest obsługiwana za pośrednictwem sekretów platformy Kubernetes i projekcjonowanych woluminów, zapewniając, że workloady zawsze prezentują prawidłowe certyfikaty.

Rotacja i okres istnienia certyfikatu

• Automatyczna rotacja: menedżer certyfikatów odnawia certyfikaty przed ich wygaśnięciem Certificate na podstawie ustawień zasobów (takich jak duration i renewBefore).
• Domyślny okres istnienia certyfikatu: większość certyfikatów TLS liścia operatora platformy Azure jest wystawiana przez 70 dni.
• Wyjątki: niektóre składniki używają różnych okresów istnienia.
  • Etcd snapshotter: Wystawia certyfikaty serwera i klienta z okresem istnienia 1 roku .
  • Usługa tokenów: wystawia certyfikaty urzędu certyfikacji i serwera z 3-letnią ważnością.
• Okno odnawiania: certyfikaty są zwykle odnawiane około 23 dni przed wygaśnięciem.

Ważne

Jeśli certyfikat TLS wygaśnie, klienci weryfikujący protokół TLS odrzucają połączenie. Niektóre narzędzia dostępne dla użytkowników umożliwiają obejście weryfikacji (na przykład kliknięcie przeglądarki), ale usługi platformy wymagają weryfikacji, aby pozostać włączone. Odnów certyfikat, aby aplikacje pobierały zaktualizowane tajne dane.

Ostrzeżenie

IDRAC oczekuje 60-dniowego okresu istnienia certyfikatu i zgłasza alerty w miarę zbliżania się wygaśnięcia. Różni się to od 70-dniowego okresu istnienia platformy i jest przedmiotem przeglądu. Odnawianie certyfikatu rozpoczyna się obecnie około 13 dni przed oczekiwanym wygaśnięciem iDRAC.

Ponieważ wszystkie emisje odbywają się w klastrze, operatorzy zachowują pełną kontrolę nad infrastrukturą zaufania bez polegania na zewnętrznej łączności ani usługach.

Hierarchia wystawców

Dwa główne wystawcy są wdrażani w klastrze w celu dostosowania do różnych wymagań zaufania interfejsów obsługiwanych przez ludzi i obciążeń związanych z usługami.

Wystawca interfejsu

• Cel: podpisuje certyfikaty TLS używane przez interfejsy zasobów, w tym maszyny bare metal BMC/iDRAC i punkty końcowe zarządzania aplikacjami pamięci masowej.
• Zakres: tylko certyfikaty dla punktów końcowych zarządzania.
• Rotacja: menedżer certyfikatów odnawia certyfikaty interfejsu przed wygaśnięciem. Te certyfikaty są zwykle wystawiane przez 70 dni i odnawiane przed wygaśnięciem.

Wystawca infrastruktury

• Cel: Wystawia certyfikaty dla mikrousług platformy i interfejsów API typu service-to-service.
• Zakres: Wewnętrzne usługi webhook i inne obciążenia platformy.
• Rotacja: Certyfikaty są automatycznie obracane. Te certyfikaty są zwykle wystawiane przez 70 dni i odnawiane przed wygaśnięciem.

Scenariusze użycia certyfikatów

Scenario	Wystawca	Przykładowi odbiorcy	Cel zaufania
Dostęp do zarządzania poza pasmem	Interfejs	Konsole iDRAC, pulpity nawigacyjne urządzeń magazynujących, interfejsy break-glass	Zapewnianie zaszyfrowanych i uwierzytelnionych ścieżek dostępu człowieka
Ruch płaszczyzny sterowania platformy	Infrastruktura	przyjęcie elementów webhook, mikrousług platformy	Zapewnianie zaszyfrowanej komunikacji między usługami i wzajemnego uwierzytelniania

Wyświetlanie certyfikatów urzędów certyfikacji i skrótów kryptograficznych

Operatorzy często muszą sprawdzić, czy punkty końcowe protokołu TLS przedstawiają oczekiwany certyfikat urzędu certyfikacji i odcisk palca. Operator platformy Azure Nexus udostępnia te informacje zarówno za pośrednictwem witryny Azure Portal, jak i interfejsu wiersza polecenia platformy Azure.

Uwaga / Notatka

Wyświetlanie metadanych certyfikatu urzędu certyfikacji wymaga interfejsu API Azure Operator Nexus w wersji 2025-09-01 lub nowszej.

Zasoby maszyn bez systemu operacyjnego

1. Azure Portal:

   1. Przejdź do Azure Operator Nexus > maszyn fizycznych.
   2. Otwórz docelowy zasób komputera bez systemu operacyjnego.
   3. Wybierz pozycję Widok JSON.
   4. Wybierz wersję interfejsu API 2025-09-01 lub nowszą.
   5. Przejrzyj wartość certyfikatu urzędu certyfikacji i skrót SHA-256 wystawcy, który podpisał aktywny certyfikat TLS.

2. Interfejs wiersza polecenia platformy Azure:

   az networkcloud baremetalmachine show \
     --subscription <subscription>
     --resource-group <cluster-managed-resource-group> \
     --name <bareMetalMachineName> \
     --query "caCertificate" \
     --output tsv
   

   To polecenie zwraca certyfikat urzędu certyfikacji zakodowany w formacie PEM, który wystawił bieżący certyfikat TLS i jego skrót SHA-256 (odcisk palca) w celu szybkiego porównania z zaufanymi wartościami.

Zasoby urządzenia do przechowywania

1. Azure Portal:

   1. Przejdź do urządzeń Storage Azure Operator Nexus.
   2. Otwórz docelowy zasób urządzenia pamięci masowej.
   3. Wybierz pozycję Widok JSON.
   4. Wybierz wersję interfejsu API 2025-09-01 lub nowszą.
   5. Przejrzyj wartość certyfikatu urzędu certyfikacji i skrót SHA-256 wystawcy, który podpisał aktywny certyfikat TLS.

2. Interfejs wiersza polecenia platformy Azure:

   az networkcloud storageappliance show \
     --subscription <subscription>
     --resource-group <cluster-managed-resource-group> \
     --name <storageApplianceName> \
     --query "caCertificate" \
     --output tsv
   

Treści powiązane

Infrastruktura kluczy publicznych jest jednym ze składników zabezpieczeń platformy Azure Operator Nexus. System infrastruktury kluczy publicznych współpracuje z tymi mechanizmami rotacji poświadczeń w celu zapewnienia kompleksowego uwierzytelniania i szyfrowania na całej platformie.

• Zabezpieczenia platformy Azure Operator Nexus
• Zarządzanie dostępem i tożsamościami
• Rotacja poświadczeń kontrolera zarządzania płytą główną
• Rotacja haseł sieci szkieletowej
• Zarządzanie rotacją poświadczeń