MTLS de back-end com o Gateway de Aplicativo para contêineres – API de Gateway

  • Artigo

Esse documento ajuda a configurar um aplicativo de exemplo que usa os recursos a seguir da API de Gateway. As etapas são fornecidas para:

  • Crie um recurso Gateway com um ouvinte HTTPS.
  • Criar um recurso de HTTPRoute que referencie um serviço de back-end.
  • Criar um recurso de BackendTLSPolicy que tenha um cliente e um Certificado de Autoridade de Certificação para o serviço de back-end referenciado no HTTPRoute.

Tela de fundo

O protocolo MTLS é um processo que depende de certificados para criptografar as comunicações e identificar os clientes para um serviço. Isso permite que as cargas de trabalho de back-end aumentem ainda mais a postura de segurança confiando apenas em conexões de dispositivos autenticados.

Confira a seguinte figura:

A diagram showing the Application Gateway for Containers backend MTLS process.

Pré-requisitos

  1. Se estiver seguindo a estratégia de implantação BYO, verifique se você configurou os recursos do Gateway de Aplicativos para contêineres e o Controlador ALB.

  2. Se estiver seguindo a estratégia de implantação gerenciada do ALB, verifique se você provisionou o Controlador ALB e os recursos do Gateway de Aplicativos para contêineres por meio do recurso personalizado ApplicationLoadBalancer.

  3. Implantar um aplicativo HTTP de exemplo:

    Aplique o arquivo deployment.yaml a seguir no cluster para criar um aplicativo Web de exemplo e implantar segredos de exemplo para demonstrar a mTLS (autenticação mútua de back-end).

    kubectl apply -f https://trafficcontrollerdocs.blob.core.windows.net/examples/https-scenario/end-to-end-ssl-with-backend-mtls/deployment.yaml

    Esse comando cria o seguinte no cluster:

    • Um namespace chamado test-infra
    • Um serviço chamado mtls-app no namespace test-infra
    • Uma implantação chamada mtls-app no namespace test-infra
    • Um mapa de configurações chamado mtls-app-nginx-cm no namespace test-infra
    • Quatro segredos chamados backend.com, frontend.com, gateway-client-cert e ca.bundle no namespace test-infra

Implantar os recursos de API de Gateway necessários

Criar um gateway

kubectl apply -f - <<EOF
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: gateway-01
  namespace: test-infra
  annotations:
    alb.networking.azure.io/alb-namespace: alb-test-infra
    alb.networking.azure.io/alb-name: alb-test
spec:
  gatewayClassName: azure-alb-external
  listeners:
  - name: https-listener
    port: 443
    protocol: HTTPS
    allowedRoutes:
      namespaces:
        from: Same
    tls:
      mode: Terminate
      certificateRefs:
      - kind : Secret
        group: ""
        name: frontend.com
EOF

Observação

Quando o Controlador ALB cria os recursos do Gateway de Aplicativos para contêineres no ARM, ele usará a seguinte convenção de nomenclatura para um recurso de front-end: fe-<oito caracteres gerados aleatoriamente>

Se você quiser alterar o nome do front-end criado no Azure, siga a estratégia de trazer sua própria implantação.

Depois que o recurso de gateway for criado, verifique se o status é válido, se o ouvinte está Programado e se um endereço foi atribuído ao gateway.

kubectl get gateway gateway-01 -n test-infra -o yaml

Exemplo de saída da criação bem-sucedida do gateway:

status:
  addresses:
  - type: IPAddress
    value: xxxx.yyyy.alb.azure.com
  conditions:
  - lastTransitionTime: "2023-06-19T21:04:55Z"
    message: Valid Gateway
    observedGeneration: 1
    reason: Accepted
    status: "True"
    type: Accepted
  - lastTransitionTime: "2023-06-19T21:04:55Z"
    message: Application Gateway For Containers resource has been successfully updated.
    observedGeneration: 1
    reason: Programmed
    status: "True"
    type: Programmed
  listeners:
  - attachedRoutes: 0
    conditions:
    - lastTransitionTime: "2023-06-19T21:04:55Z"
      message: ""
      observedGeneration: 1
      reason: ResolvedRefs
      status: "True"
      type: ResolvedRefs
    - lastTransitionTime: "2023-06-19T21:04:55Z"
      message: Listener is accepted
      observedGeneration: 1
      reason: Accepted
      status: "True"
      type: Accepted
    - lastTransitionTime: "2023-06-19T21:04:55Z"
      message: Application Gateway For Containers resource has been successfully updated.
      observedGeneration: 1
      reason: Programmed
      status: "True"
      type: Programmed
    name: https-listener
    supportedKinds:
    - group: gateway.networking.k8s.io
      kind: HTTPRoute

Depois que o gateway for criado, crie um recurso HTTPRoute.

kubectl apply -f - <<EOF
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: https-route
  namespace: test-infra
spec:
  parentRefs:
  - name: gateway-01
  rules:
  - backendRefs:
    - name: mtls-app
      port: 443
EOF

Depois que o recurso HTTPRoute for criado, verifique se a rota é mostrada como Accepted e se o recurso do Gateway de Aplicativos para contêineres indica que foi Programmed.

kubectl get httproute https-route -n test-infra -o yaml

Verifique se o status do recurso do Gateway de Aplicativos para contêineres foi atualizado com êxito.

status:
  parents:
  - conditions:
    - lastTransitionTime: "2023-06-19T22:18:23Z"
      message: ""
      observedGeneration: 1
      reason: ResolvedRefs
      status: "True"
      type: ResolvedRefs
    - lastTransitionTime: "2023-06-19T22:18:23Z"
      message: Route is Accepted
      observedGeneration: 1
      reason: Accepted
      status: "True"
      type: Accepted
    - lastTransitionTime: "2023-06-19T22:18:23Z"
      message: Application Gateway For Containers resource has been successfully updated.
      observedGeneration: 1
      reason: Programmed
      status: "True"
      type: Programmed
    controllerName: alb.networking.azure.io/alb-controller
    parentRef:
      group: gateway.networking.k8s.io
      kind: Gateway
      name: gateway-01
      namespace: test-infra

Criar uma BackendTLSPolicy

kubectl apply -f - <<EOF
apiVersion: alb.networking.azure.io/v1
kind: BackendTLSPolicy
metadata:
  name: mtls-app-tls-policy
  namespace: test-infra
spec:
  targetRef:
    group: ""
    kind: Service
    name: mtls-app
    namespace: test-infra
  default:
    sni: backend.com
    ports:
    - port: 443
    clientCertificateRef:
      name: gateway-client-cert
      group: ""
      kind: Secret
    verify:
      caCertificateRef:
        name: ca.bundle
        group: ""
        kind: Secret
      subjectAltName: backend.com
EOF

Depois que o objeto BackendTLSPolicy for criado, verifique o status no objeto para ver se a política é válida:

kubectl get backendtlspolicy -n test-infra mtls-app-tls-policy -o yaml

Exemplo de saída da criação válida de objeto BackendTLSPolicy:

status:
  conditions:
  - lastTransitionTime: "2023-06-29T16:54:42Z"
    message: Valid BackendTLSPolicy
    observedGeneration: 1
    reason: Accepted
    status: "True"
    type: Accepted

Testar o acesso ao aplicativo

Agora estamos prontos para enviar um tráfego para o aplicativo de exemplo por meio do FQDN atribuído ao front-end. Use o seguinte comando para obter o FQDN:

fqdn=$(kubectl get gateway gateway-01 -n test-infra -o jsonpath='{.status.addresses[0].value}')

O uso do cURL nesse FQDN retornará respostas do back-end, conforme configurado no HTTPRoute.

curl --insecure https://$fqdn/

Parabéns! Você instalou o Controlador ALB, implantou um aplicativo de back-end e roteou o tráfego para o aplicativo por meio da entrada no Gateway de Aplicativos para contêineres.