Azure Operatör Nexus PKI uygulaması

Azure Operatörü Nexus, her kümeye bir küme içi ortak anahtar altyapısı (PKI) dağıtır. Her küme, siteden hiç ayrılmadan kendi imzalı bir sertifika otoritesi (CA) hiyerarşisini korur ve şifreleme güveninin her dağıtım için yalıtılmasını sağlar. Bu yalıtım, güvenliğin tehlikeye atılmasına neden olan etkiyi en aza indirir.

PKI mimarisine genel bakış

Küme başına güven sınırı: Her Azure İşleci Nexus örneği bağımsız bir kök CA sağlar. Kümeler arasında paylaşılan CA yoktur ve sertifikalar hiçbir zaman siteler arasında yeniden kullanılmaz.
Bağımsız verme: Sertifika verme ve yenileme Kubernetes denetim düzleminin içinde yerel olarak gerçekleştirilir. Dış veya merkezi PKI hizmetlerinden sertifika istenmiyor.
Amaca özgü sertifika verenler: Özel ara sertifika yetkilileri, ayrıcalıklı kapsamı en aza indirmek için insan tarafından yönetilen konsollar ile iç hizmetler gibi belirli iş yükleri için sertifikaları imzalar.

Bu mimari, müşterilerin TLS kimlik doğrulamasının, aktarım sırasında şifrelemenin ve şifreleme denetlenebilirliğinin avantajlarını koruyarak bağlantısız veya yarı bağlı ortamlarda çalışmasına olanak tanır.

cert-manager ile sertifika yönetimi

Azure Operatör Nexus, sertifika yaşam döngülerini otomatikleştirmek için cert-manager kullanır:

Sertifika veren nesneler her sertifika amacıyla tanımlanır (arabirim erişimi, iç hizmetler ve diğer özel iş yükleri).
Sertifika kaynakları, platform bileşenleri için gereken Subject Alternative Names (SAN'ler) dahil olmak üzere uygun verenden yaprak sertifikalar talep eder.
Yenileme otomasyonu , son kullanma tarihinden önce yaprak sertifikaları yenileyen ve bunları platform genelinde şeffaf bir şekilde döndüren cert-manager tarafından yönlendirilir.
Podlara ve hizmetlere gizli dizi dağıtımı Kubernetes gizli dizileri ve öngörülen birimler aracılığıyla işlenir ve iş yüklerinin her zaman geçerli sertifikalar sunmasını sağlar.

Sertifika döndürme ve kullanım ömrü

Otomatik yenileme: cert-manager, kaynak ayarlarına bağlı olarak CertificatedurationrenewBefore sertifikaları süresi dolmadan yeniler.
Varsayılan sertifika ömrü: Çoğu Azure Operatör Nexus yaprak TLS sertifikası 70 gün boyunca verilir.
Özel durumlar: Bazı bileşenler farklı yaşam süreleri kullanır.
- Etcd anlık görüntüleyici: 1 yıllık geçerlilik süresine sahip sunucu ve istemci sertifikalarını sunar.
- Belirteç hizmeti: CA'sını ve sunucu sertifikalarını 3 yıllık ömrüyle birlikte gönderir.
Yenileme penceresi: Sertifikalar genellikle süre dolmadan yaklaşık 23 gün önce yenilenir.

Önemli

BIR TLS sertifikasının süresi dolarsa, TLS'yi doğrulayan istemciler bağlantıyı reddeder. Kullanıcıya yönelik bazı araçlar doğrulamayı atlamanıza olanak tanır (örneğin, tarayıcı tıklaması), ancak platform hizmetlerinin açık kalması için doğrulama gerekir. İş yüklerinin güncellenmiş gizli bilgilere erişim sağlaması için sertifikayı yenileyin.

Uyarı

iDRAC 60 günlük bir sertifika ömrü bekler ve süre sonu yaklaştıkça uyarılar oluşturur. Bu, platformun 70 günlük ömründen farklıdır ve gözden geçirilmektedir. Sertifika yenilemesi şu anda iDRAC beklenen süre sonundan yaklaşık 13 gün önce başlar.

Tüm belgelerin küme içinde verilmesi nedeniyle yöneticiler, dış bağlantıya veya hizmetlere bağlı kalmadan güven yapılandırması üzerinde tam denetime sahip olur.

Veren hiyerarşisi

İnsan tarafından çalıştırılan arabirimlerin ve hizmet iş yüklerinin farklı güven gereksinimleriyle uyumlu hale getirmek için küme başına iki birincil veren dağıtılır.

Arabirim veren

Amaç: Çıplak makine BMC/iDRAC ve depolama aleti yönetim uç noktaları dahil olmak üzere kaynak arabirimleri tarafından kullanılan TLS sertifikalarını imzalar.
Kapsam: Yalnızca yönetim uç noktaları için sertifikalar.
Yenileme: cert-manager, arabirim sertifikalarını sona ermeden önce yeniler. Bu sertifikalar genellikle 70 gün süreyle verilir ve süresi dolmadan önce yenilenir.

Altyapı sağlayıcı

Amaç: Platform mikro hizmetleri ve hizmet-hizmet API'leri için sertifikalar sağlar.
Kapsam: İç web kancası hizmetleri ve diğer platform iş yükleri.
Döndürme: Sertifikalar otomatik olarak döndürülür. Bu sertifikalar genellikle 70 gün süreyle verilir ve süresi dolmadan önce yenilenir.

Sertifika kullanım senaryoları

Scenario	Sertifikayı veren	Örnek tüketiciler	Güven hedefi
Bant dışı yönetim erişimi	Arayüz	iDRAC konsolları, depolama gereci panoları, cam cam arabirimleri	Şifrelenmiş ve kimliği doğrulanmış insan erişim yolları sağlama
Platform kontrol düzlemi trafiği	Altyapı	erişim web kancaları, platform mikro hizmetleri	Şifrelenmiş hizmet-hizmet iletişimi ve karşılıklı kimlik doğrulaması sağlama

CA sertifikalarını ve karmalarını görüntüleme

İşleçlerin genellikle TLS uç noktalarının beklenen CA sertifikasını ve parmak izini sunduğunu doğrulaması gerekir. Azure Operatör Nexus bu bilgileri hem Azure portalı hem de Azure CLI aracılığıyla kullanıma sunar.

Uyarı

CA sertifika meta verilerini görüntülemek için Azure Operatör Nexus 2025-09-01 API sürümü veya sonraki bir sürümü gerekir.

Çıplak metal makine kaynakları

Azure portalı:
1. Azure Operatör Nexus > Bare Metal Sunuculara gidin.
2. Hedef bare metal sunucu kaynağını açın.
3. JSON Görünümü'nü seçin.
4. 2025-09-01 veya üzeri API sürümünü seçin.
5. Etkin TLS sertifikasını imzalayan verenin CA sertifika değerini ve SHA-256 karması gözden geçirin.

Azure CLI:

az networkcloud baremetalmachine show \
  --subscription <subscription>
  --resource-group <cluster-managed-resource-group> \
  --name <bareMetalMachineName> \
  --query "caCertificate" \
  --output tsv

Bu komut, güvenilir değerlerle hızlı karşılaştırma için geçerli TLS sertifikasını veren PEM kodlu CA sertifikasını ve SHA-256 karmasını (parmak izi) döndürür.

Depolama aleti kaynakları

Azure portalı:
1. Azure Operatör Nexus > Depolama cihazları'na gidin.
2. Hedef depolama gereci kaynağını açın.
3. JSON Görünümü'nü seçin.
4. 2025-09-01 veya üzeri API sürümünü seçin.
5. Etkin TLS sertifikasını imzalayan verenin CA sertifika değerini ve SHA-256 karması gözden geçirin.