Citrix ADC Ingress Controller

SSL-Zertifikat für Dienste vom Typ LoadBalancer über die geheime Kubernetes-Ressource

Dieser Abschnitt enthält Informationen zur Verwendung des SSL-Zertifikats, das als Kubernetes-Geheimnis gespeichert ist, mit Diensten vom Typ LoadBalancer. Das Zertifikat wird angewendet, wenn die Anmerkung SSL oder service.citrix.com/service-type lautet SSL_TCP.

Verwenden des Citrix Ingress Controller-Standardzertifikats

Wenn das SSL-Zertifikat nicht bereitgestellt wird, können Sie das standardmäßige Citrix Ingress Controller-Zertifikat verwenden.

Sie müssen den geheimen Namen, den Sie verwenden möchten, und den Namespace, aus dem er als Argumente verwendet werden soll, in der YAML-Datei des Citrix Ingress Controller angeben.

Citrix Ingress-Standardcontroller

        --default-ssl-certificate <NAMESPACE>/<SECRET_NAME> 

Dienstanmerkungen für SSL-Zertifikat als Kubernetes-Schlüssel

Citrix Ingress Controller stellt die folgenden Dienstanmerkungen bereit, um SSL-Zertifikate zu verwenden, die als Kubernetes-Geheimnisse für Dienste des Typs gespeichert sind LoadBalancer.

Anmerkung zum Dienst Beschreibung
service.citrix.com/secret Verwenden Sie diese Anmerkung, um den Namen der geheimen Ressource für das Front-End-Serverzertifikat anzugeben. Es muss ein Zertifikat und einen Schlüssel enthalten. Sie können auch eine Liste von CA-Zwischenzertifikaten im Zertifikatsabschnitt gefolgt vom Serverzertifikat angeben. Diese zwischengeschalteten Zertifizierungsstellen werden automatisch verknüpft und während des SSL-Handshakes an den Client gesendet.
service.citrix.com/ca-secret Verwenden Sie diese Anmerkung, um ein CA-Zertifikat für die Clientzertifikatauthentifizierung bereitzustellen. Dieses Zertifikat ist an den virtuellen Front-End-SSL-Server in Citrix ADC gebunden.
service.citrix.com/backend-secret Verwenden Sie diese Anmerkung, wenn die Back-End-Kommunikation zwischen Citrix ADC und Ihrer Arbeitslast auf einem verschlüsselten Kanal erfolgt und Sie die Clientauthentifizierung in Ihrer Arbeitslast benötigen. Dieses Zertifikat wird während des SSL-Handshakes an den Server gesendet und ist an die Back-End-SSL-Dienstgruppe gebunden.
service.citrix.com/backend-ca-secret Verwenden Sie diese Anmerkung, um die Serverauthentifizierung zu aktivieren, die das Backend-Serverzertifikat authentifiziert. Diese Konfiguration bindet das CA-Zertifikat des Servers an den SSL-Dienst auf dem Citrix ADC.
service.citrix.com/preconfigured-certkey Verwenden Sie diese Anmerkung, um den Namen des vorkonfigurierten Zertifikatsschlüssels im Citrix ADC anzugeben, der als Front-End-Serverzertifikat verwendet werden soll.
service.citrix.com/preconfigured-ca-certkey Verwenden Sie diese Anmerkung, um den Namen des vorkonfigurierten Zertifikatsschlüssels im Citrix ADC anzugeben, der als CA-Zertifikat für die Clientzertifikatauthentifizierung verwendet werden soll. Dieses Zertifikat ist an den virtuellen Front-End-SSL-Server in Citrix ADC gebunden.
service.citrix.com/preconfigured-backend-certkey Verwenden Sie diese Anmerkung, um den Namen des vorkonfigurierten Zertifikatsschlüssels im Citrix ADC anzugeben, der an die Back-End-SSL-Dienstgruppe gebunden werden soll. Dieses Zertifikat wird während des SSL-Handshakes zur Serverauthentifizierung an den Server gesendet.
service.citrix.com/preconfigured-backend-ca-certkey Verwenden Sie diese Anmerkung, um den Namen des vorkonfigurierten CA-Zertifikatsschlüssels im Citrix ADC anzugeben, der zur Serverauthentifizierung an die Back-End-SSL-Dienstgruppe gebunden werden soll.

Beispiele: Front-End-Secret und Front-End-CA Secret

Im Folgenden sind einige Beispiele für die service.citrix.com/secret Anmerkung aufgeführt:

Die folgende Anmerkung gilt für alle Ports im Service.

        service.citrix.com/secret: hotdrink-secret

Sie können die folgende Notation verwenden, um das für bestimmte Ports geltende Zertifikat anzugeben, indem Sie entweder portname oder port-protocol als Schlüssel angeben.

        # port-protocol : secret

        service.citrix.com/secret: '{"443-tcp": "hotdrink-secret", "8443-tcp": "hotdrink-secret"}' 

         # portname: secret

        service.citrix.com/secret: '{"https": "hotdrink-secret"}' 

Im Folgenden finden Sie einige Beispiele für die Anmerkung service.citrix.com/ca-secret.

Sie müssen die folgende Anmerkung angeben, um den generierten CA-Schlüssel anzuhängen, der für die Clientzertifikatauthentifizierung für einen in Kubernetes bereitgestellten Dienst verwendet wird.

Die folgende Anmerkung gilt für alle Ports im Service.

  service.citrix.com/ca-secret: hotdrink-ca-secret

Sie können die folgende Notation verwenden, um das für bestimmte Ports geltende Zertifikat anzugeben, indem Sie entweder portname oder port-protocol als Schlüssel angeben.

  # port-protocol: secret
  service.citrix.com/ca-secret: '{"443-tcp": "hotdrink-ca-secret", "8443-tcp": "hotdrink-ca-secret"}'      

  # portname: secret

  service.citrix.com/ca-secret: '{"https": "hotdrink-ca-secret"}' 

Beispiele: Backend-Secret und Back-End-CA-Secret

Im Folgenden finden Sie einige Beispiele für die Anmerkung service.citrix.com/backend-secret.

  # port-protocol: secret
  service.citrix.com/backend-secret: '{"443-tcp": "hotdrink-secret", "8443-tcp": "hotdrink-secret"}'      

  # portname: secret

  service.citrix.com/backend-secret: '{"tea-443": "hotdrink-secret", "tea-8443": "hotdrink-secret"}' 

  # applicable to all ports

  service.citrix.com/backend-secret: "hotdrink-secret"

Im Folgenden finden Sie einige Beispiele für die Anmerkung service.citrix.com/backend-ca-secret.

  # port-proto: secret
  service.citrix.com/backend-ca-secret: '{"443-tcp": "coffee-ca", "8443-tcp": "tea-ca"}'      

  # portname: secret

  service.citrix.com/backend-ca-secret: '{"coffee-443": "coffee-ca", "tea-8443": "tea-ca"}' 

  # applicable to all ports

  service.citrix.com/backend-ca-secret: "hotdrink-ca-secret"
SSL-Zertifikat für Dienste vom Typ LoadBalancer über die geheime Kubernetes-Ressource