- v1.15 (última)
- v1.14
- v1.13
- Lista de versiones admitidas
- v1.12
- v1.11
- v1.10
- v1.9
- v1.8
- v1.7
- Versión 1.6
- v1.5
- Versión 1.4
- Versión 1.3
- v1.2
- v1.1
Versiones compatibles:
Versiones no compatibles:
En este tema se explica cómo habilitar TLS unidireccional y TLS mutuo en el ingressgateway .
Configurar TLS unidireccional
Usa TLS unidireccional para proteger los endpoints de proxy de API en la puerta de enlace de entrada. Para habilitar TLS unidireccional, configura el ingreso con pares de certificado y clave TLS o con un secreto de Kubernetes, tal como se explica en las siguientes opciones.
Opción 1: par de claves/certificados
Proporciona los archivos de certificado y clave SSL en la propiedad virtualhosts de tu archivo de anulaciones:
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"Donde $ENVIRONMENT_GROUP_NAME es el nombre de un grupo de entornos con los alias de host correspondientes, y $CERT_FILE y $KEY_FILE son archivos de clave y certificado TLS. Consulta Crear certificados TLS.
Opción 2: Secreto de Kubernetes
Crea un secreto de Kubernetes y añádelo al archivo de anulaciones.
- Crea el secreto en uno de los dos siguientes espacios de nombres:
- Espacio de nombres
apigeesi usas la pasarela de entrada de Apigee. istio-systemsi usas Anthos Service Mesh instalado por el cliente.
Pasarela de entrada de Apigee
kubectl create -n apigee secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
Anthos Service Mesh
kubectl create -n istio-system secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Espacio de nombres
- Configura la propiedad
virtualhostsen el archivo de anulaciones:virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: SIMPLE # Note: SIMPLE is the default, so it is optional. sslSecret: $SECRET_NAME
Configurar mTLS
En lugar de TLS unidireccional, puedes configurar mTLS en la pasarela de entrada. Hay dos opciones para configurar mTLS, como se explica a continuación.
Opción 1: par de claves/certificados y archivo de AC
Proporciona un certificado de autoridad de certificación (CA) con archivos de certificado y clave SSL en la propiedad virtualhosts de tu archivo de anulaciones:
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
tlsMode: MUTUAL
caCertPath: "$CA_FILE"
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"Donde $ENVIRONMENT_GROUP_NAME es el nombre de un grupo de entornos con los alias de host correspondientes, $CA_FILE es un certificado autorizado y $CERT_FILE y $KEY_FILE son archivos de clave y certificado TLS. Consulta Crear certificados TLS.
Opción 2: secretos de Kubernetes
Crea dos secretos de Kubernetes. El primer secreto es para el par de certificado y clave SSL, y el segundo es para la AC. A continuación, añádelos al archivo de anulaciones.
- Crea dos secretos de Kubernetes en uno de los dos espacios de nombres siguientes:
- Espacio de nombres
apigeesi usas la pasarela de entrada de Apigee. istio-systemsi usas Anthos Service Mesh instalado por el cliente.
Pasarela de entrada de Apigee
kubectl create -n apigee secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
Anthos Service Mesh
kubectl create -n istio-system secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Espacio de nombres
- Crea un secreto para la autoridad de certificación:
Pasarela de entrada de Apigee
kubectl create -n apigee secret generic $SECRET_NAME-cacert \ --from-file=cacert=$CA_FILE
Anthos Service Mesh
kubectl create -n istio-system secret generic $SECRET_NAME-cacert \ --from-file=cacert=$CA_FILE
- Configura la propiedad
virtualhostsen el archivo de anulaciones:virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: MUTUAL # Note: Be sure to specify MUTUAL sslSecret: $SECRET_NAME