Het landschap van cloud native technologieĆ«n is zeer breed en divers. Zo bieden tientallen aanbieders hun tools aan die je op allerlei manieren ondersteunen. Hoe vind je je weg in deze tools? Engineers en architecten van True helpen je op weg. In deze serie delen we onze kennis met je over verschillende Kubernetes tools. š” Tip: lees ook de blog De Cloud Native Trail Map van CNCF (en welke aanvullingen True daarop heeft) voor het begin van je reis naar cloud native.
Wat is cert-manager?
cert-manager is een tool voor het beheer van certificaten voor onder meer Kubernetes-workloads. De tool is oorspronkelijk ontwikkeld door Jetstack, dat in 2020 is overgenomen door Venafi. Het bedrijf doneerde in datzelfde jaar cert-manager aan CNCF (Cloud Native Computing Foundation). cert-manager vraagt certificaten op bij populaire certificate authorities (CA’s). Dit doet de tool geheel automatisch, waardoor jij er geen omkijken naar hebt. Je geeft simpelweg aan voor welk endpoint je een TLS- of SSL-certificaat wilt hebben, waarna cert-manager het werk doet.
Wat zijn de voordelen van cert-manager voor Kubernetes?
Een belangrijk voordeel van cert-manager is dat je geen omkijken meer hebt naar het up-to-date houden van certificaten. Dat is belangrijk, aangezien verlopen certificaten tot allerlei problemen kunnen leiden en het beheer veel tijd in beslag kan nemen. Je bepaalt zelf hoe lang voor het verlopen van een certificaat cert-manager deze vernieuwt.
Het aanvragen van certificaten kan bij diverse CA’s. Denk daarbij aan initiatieven die gratis certificaten verstrekken zoals Let’s Encrypt of Cloudflare. Ook integreert cert-manager met HashiCorp Vault, een handige tool voor het veilig beheer van secrets zoals certificaten, tokens en API-sleutels.
Waar kun je cert-manager voor gebruiken?
cert-manager is voor diverse toepassingen een handige tool. Enkele voorbeelden zijn:
Inkomend verkeer beveiligen
cert-manager is onder meer inzetbaar voor het beveiligen van inkomend verkeer naar je Kubernetes-cluster. Hiermee scherm je workloads die in het cluster draaien af en stel je zeker dat deze niet toegankelijk zijn voor onbevoegden. Zo kun je de identiteit van inkomend verkeer controleren en het Zero Trust-principe hanteren. Dit betekent in de praktijk dat je niets of niemand standaard vertrouwt, maar altijd de identiteit verifieert.
Service mesh ondersteunen
Ook voor het beheer van workloads in een service mesh is cert-manager interessant. Een service mesh wint snel aan populariteit als netwerktechnologie voor het opzetten van veilige verbindingen tussen endpoints in een cloud native architectuur. De technologie stuurt hierbij verzoeken van een service door naar een andere service. Zo optimaliseert een service mesh de communicatie tussen verschillende onderdelen. Ook bij de communicatie die een service mesh verzorgt is beveiliging uiteraard van cruciaal belang. Om aanvallers niet in de kaart te spelen wil je zekerstellen dat services alleen kunnen communiceren met andere services waar zij werkelijk toegang tot nodig hebben. TLS-certificaten maken dit mogelijk. cert-manager vereenvoudigt het beheer van deze certificaten.
mTLS toepassen
Niet iedere workload is bedoeld om toegankelijk te zijn voor externe partijen. Waar bedrijven in het verleden vertrouwden op beveiliging aan de rand van hun netwerk, biedt deze vorm van beveiliging nu onvoldoende zekerheid. Krijgt een aanvaller onverhoopt toegang tot je netwerk? Dan is het interne verkeer onbeveiligd en vrij toegankelijk. Met behulp van mTLS kan je het interne dataverkeer in je cluster beveiligen. Bij mTLS vindt authentificatie in twee richtingen plaats; zowel de verzender als ontvanger verifieert elkaars identiteit. mTLS is onderdeel van de TLS-standaard.
Video met een uitleg over cert-manager
In deze video geeft Matthew Bates, medeoprichter en CTO van Jetstack, uitleg over cert-manager. In een half uur gaat Bates dieper in op de use cases van cert-manager.
Waarom zijn wij fan van cert-manager?
cert-manager werkt in de praktijk erg prettig, zeker in combinatie met initiatieven als Let’s Encrypt. Via deze geautomatiseerde CA kun je een gratis SSL-certificaat aanvragen; cert-manager automatiseert het aanvraagproces voor je. Je geeft simpelweg aan dat je een endpoint een SSL-certificaat wilt meegeven en stelt Let’s Encrypt in als uitgever van dit certificaat. cert-manager neemt het werk vervolgens volledig uit handen. Je hoeft zelf geen certificaat aan te vragen en je hoeft ook niets in te stellen; alles staat direct goed. Ook vernieuwt cert-manager het SSL-certificaat indien nodig automatisch. cert-manager is dan ook een absolute aanrader.
Samenwerken aan je ambities met Kubernetes?
Steeds meer ontwikkelteams verkennen containerisatie en microservices. Het levert veel voordelen op maar kan ook complex zijn. Fully Managed Kubernetes van True helpt ontwikkelteams met meer efficiƫntie en zorgvuldigheid te ontwikkelen.