Skip to main content

Whizard 开启 TLS 进行内部服务通信

Whizard 内部服务间通信使用 TLS 安全加固时要求:

  • whizard 版本 >= v0.7.0

相关上下游服务版本要求:

  • kse 版本 >= 3.4.1

1. 生成 HTTPS 证书

证书生成访问不做限制,生成完证书后,需要在对应空间创建 Secret,供 whizard 挂载使用。证书生成时需配置其服务 DNS 域名。 这里我们使用 cert-manager 生成证书,可以直接生成对应 Secret,也可以换用其他熟悉方式配置生成证书。

  1. 安装cert-manager

      kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.12.0/cert-manager.yaml
  2. 查看部署文件 certificate.yaml

    apiVersion: cert-manager.io/v1
    kind: Issuer
    metadata:
    name: selfsigned
    namespace: kubesphere-monitoring-system
    spec:
    selfSigned: {}
    ---
    apiVersion: cert-manager.io/v1
    kind: Certificate
    metadata:
    name: whizard-tls-certs
    namespace: kubesphere-monitoring-system
    spec:
    isCA: true
    duration: 87600h #10 year
    secretName: whizard-tls-assets
    commonName: whizard-tls-assets
    ipAddresses:
    - 127.0.0.1
    dnsNames:
    - query-whizard-operated.kubesphere-monitoring-system.svc
    - query-frontend-whizard-operated.kubesphere-monitoring-system.svc
    - router-whizard-operated.kubesphere-monitoring-system.svc
    subject:
    organizations:
    - cluster.local
    - cert-manager
    issuerRef:
    name: selfsigned
    kind: Issuer
    group: cert-manager.io
    ---
    apiVersion: cert-manager.io/v1
    kind: Issuer
    metadata:
    name: whizard-tls-assets
    namespace: kubesphere-monitoring-system
    spec:
    ca:
    secretName: whizard-tls-assets
  3. 通过部署文件 certificate.yamlkubesphere-monitoring-system 空间中生成对应指定的 secret

kubectl apply -f certificate.yaml

issuer.cert-manager.io/selfsigned created
certificate.cert-manager.io/whizard-tls-certs created
issuer.cert-manager.io/whizard-tls-assets created

kubectl get secret -n kubesphere-monitoring-system

NAME                                         TYPE                 DATA   AGE
whizard-tls-assets kubernetes.io/tls 3 25s

2. 为 Whizard 组件 HTTP 服务配置 TLS 证书

whizard 支持手动为相关应用组件配置 TLS 证书,进行安全加固,允许单独为件如 query-frontend(数据查询入口)配置,也支持为其他使用 http 服务的相关组件进行设置,他们分别是query-frontend、query、router,设置方法如下:

# 在 queryfrontend 的 cr 中添加 TLS 证书 配置
kubectl edit queryfrontend.monitoring.whizard.io -n kubesphere-monitoring-system whizard

# 在 query 的 cr 中添加 TLS 证书 配置
kubectl edit query.monitoring.whizard.io -n kubesphere-monitoring-system whizard

# router 的 cr 中添加 TLS 证书 配置
kubectl edit router.monitoring.whizard.io -n kubesphere-monitoring-system whizard
spec:
httpServerTLSConfig:
certSecret:
name: whizard-tls-assets
key: tls.crt
keySecret:
name: whizard-tls-assets
key: tls.key

3. 更新 Kubesphere-config 中与 whizard关联的请求配置

kubectl edit configmap -n kubesphere-system kubesphere-config

observability:
enabled: true
monitoring:
endpoint: https://query-frontend-whizard-operated.kubesphere-monitoring-system.svc:10902 # 使用 https 地址进行访问
httpClientConfig:
tlsConfig:
insecureSkipVerify: true
alerting:
endpoint: ""
prometheusEndpoint: ""
thanosRulerEndpoint: https://query-frontend-whizard-operated.kubesphere-monitoring-system.svc:10902 # 使用 https 地址进行访问
thanosRulerHTTPClientConfig:
tlsConfig:
insecureSkipVerify: true
thanosRuleResourceLabels: ""

4. 验证

  • KSE 可观测中心概览页功能正常,使用 HTTPS 的端点链接 Whizard 服务后正常使用;
  • 对相关组件配置 TLS 后,无法使用 HTTP 请求访问,必须使用 HTTPS 协议才可正常访问;

5. 其他

  1. 由于 whizard 内部服务间开启 tls 通信为手动配置的高级功能,因此配置完成后需要对 KSE 进行配置同步,可观测中心页面方可正常使用;
  2. 内部组件间开启 tls 通信后额外消耗待相关性能测试后提供;