我在 kubernetes 上部署了 cassandra 集群作为有状态集。我正在寻找实现 pod 之间的节点间安全性。我不确定如何实现,因为我正在寻求扩展,并且我不想在扩展后使用新证书重新启动集群。我有一个 docker 入口脚本,用于在容器启动时调整 cassandra.yaml。
谁能建议在这种情况下最好的方法是什么?
【问题讨论】:
标签: cassandra ssl-certificate kubernetes datastax
DataStax 工程师,我帮助设计了 OpsCenter 生命周期管理器中的节点到节点证书管理功能。添加新节点/证书后没有重启所有节点的基本要求,但很容易设计证书管理,以便您意外地最终满足该要求。
您必须为每个节点创建一个自签名证书,将每个证书添加到信任库,并将该信任库复制到每个节点。添加新节点/证书时,您必须向该信任库添加新证书,将其重新复制到每个节点,然后需要重新启动 Cassandra。这就是 DataStax 文档建议的做事方式,它是最简单的入门方式,但它不是最可扩展的生产方式。
您想要做的是创建一个证书颁发机构。它不必是像 Verisign 这样的公开信任的 CA,它可以是使用 openssl 命令行工具创建的私有 CA。将 CA public-cert 添加到信任库并将其复制到每个节点。此时,您可以为每个由该 CA 签名的节点创建证书。由于每个节点都已经信任 CA,因此您可以随时添加新节点/证书,前提是它们的节点到节点证书由该 CA 签名(因此请保留 CA 的私有和公共部分),并且每个节点都将信任签名证书。
可悲的是,如果您没有足够的证书背景,特别是 openssl(或其他证书生成工具),那么这将很难实现。一步一步地解释它需要更多的打字。但是您可以很容易地在谷歌上搜索有关设置 CA 的教程,并且您已经知道如何使用 JKS 来创建信任库……所以您至少已经掌握了很多方法。
另外...我从事各种与 DataStax 部署相关的工作。如果你有兴趣,我很想聊半个小时关于你是如何完成你的 Kubernetes 设置的,什么对你很有效,什么导致了痛苦。堆栈溢出是否具有直接消息传递功能?如果我能弄清楚我将如何向你拍摄我的联系信息。
【讨论】: