Cert-manager
Contenidos
Ya existe una etiqueta con el nombre de rama proporcionado. Muchos comandos Git aceptan tanto nombres de etiqueta como de rama, por lo que crear esta rama puede causar un comportamiento inesperado. ¿Estás seguro de que quieres crear esta rama?
En algunos casos, es posible que desee “canary” un nuevo conjunto de cambios mediante el envío de un pequeño número de solicitudes a un servicio diferente del servicio de producción. La anotación canary permite a la especificación Ingress actuar como un servicio alternativo al que dirigir las peticiones en función de las reglas aplicadas. Las siguientes anotaciones para configurar canary pueden habilitarse después de que nginx.ingress.kubernetes.io/canary: “true”:
Ten en cuenta que cuando marcas un ingress como canary, entonces todas las demás anotaciones no canary serán ignoradas (heredadas del ingress principal correspondiente) excepto nginx.ingress.kubernetes.io/load-balance, nginx.ingress.kubernetes.io/upstream-hash-by, y las anotaciones relacionadas con la afinidad de sesión. Si desea restaurar el comportamiento original de los canarios cuando se ignoraba la afinidad de sesión, establezca la anotación nginx.ingress.kubernetes.io/affinity-canary-behavior con el valor legacy en la definición de entrada del canario.
Gestión de certificados de Openshift
Trabajo con clientes regulados que necesitan satisfacer requisitos normativos como PCI DSS, HIPAA, etc. Hasta hace poco, no tenía una solución sencilla y eficaz que proponerles. Aunque era posible utilizar controladores de entrada como NGINX Ingress Controller o Traefik con un equilibrador de carga de red delante, la configuración del cifrado de extremo a extremo era engorrosa y difícil de automatizar.
Una de las formas de dirigir de forma inteligente el tráfico que se origina fuera de un clúster a los servicios que se ejecutan dentro del clúster es utilizar controladores de entrada. Suelen estar encabezados por un equilibrador de carga de capa 4, como el equilibrador de carga clásico o el equilibrador de carga de red. El siguiente diagrama muestra los lugares de una red donde puede terminar el tráfico cifrado:
Si no existe un requisito estricto de cifrado de extremo a extremo, intente descargar este procesamiento al controlador de entrada o al NLB. Esto le ayudará a optimizar el rendimiento de sus cargas de trabajo y facilitará su configuración y gestión.
Certificado falso del controlador de entrada de Kubernetes
Los playbooks de redistribución reinician los servicios del plano de control y pueden provocar la inactividad del clúster. Un error en un servicio puede hacer que falle un playbook y afectar a la salud del cluster. Si un playbook falla, es posible que tenga que resolver los problemas manualmente y reiniciar el playbook. Un libro de jugadas debe finalizar todas las tareas secuencialmente para tener éxito.
Si utiliza certificados con nombre, debe actualizar los parámetros del certificado con nombre en el archivo master-config.yaml de cada nodo maestro. Si es necesario, concatene todos los archivos necesarios que forman su cadena de certificados para el archivo de certificado que se proporciona al parámetro certFile.
La adición de este parámetro permite que todas las CSR generadas mediante el uso de la credencial bootstrap o desde un nodo autenticado previamente con el mismo nombre de host se aprueben sin intervención del administrador.
Certificado de entrada de Kubernetes
Se crea un dominio para proporcionar un espacio de gestión donde crear usuarios y darles permisos para utilizar aplicaciones. Al iniciar sesión por primera vez, normalmente se encuentra en el dominio maestro, el dominio de nivel superior a partir del cual se crean otros dominios.
A la hora de decidir qué reinos necesitas, ten en cuenta el tipo de aislamiento que quieres tener para tus usuarios y aplicaciones. Por ejemplo, puede crear un dominio para los empleados de su empresa y otro distinto para sus clientes.
Marque una de estas casillas para permitir el envío de correos electrónicos para recuperar nombres de usuario y contraseñas, especialmente si el servidor SMTP se encuentra en una red externa. Lo más probable es que tenga que cambiar el Puerto a 465, el puerto por defecto para SSL/TLS.
En la configuración de inicio de sesión de un dominio, puede definir qué valor de Referencia de clase de contexto de autenticación (ACR) se asigna a qué Nivel de autenticación (LoA). El ACR puede ser cualquier valor, mientras que el LoA debe ser numérico.
La reivindicación acr puede solicitarse en el parámetro claims o acr_values enviado en la solicitud OIDC y también se incluye en el token de acceso y el token de identificación. El número asignado se utiliza en las condiciones del flujo de autenticación.
