Ingress Controller de Citrix ADC

Certificado SSL para servicios de tipo LoadBalancer a través del recurso secreto de Kubernetes

En esta sección se proporciona información sobre cómo usar el certificado SSL almacenado como secreto de Kubernetes con servicios de tipo LoadBalancer. El certificado se aplica si la anotación service.citrix.com/service-type es SSL o SSL_TCP.

Usar el certificado predeterminado del Citrix Ingress Controller

Si no se proporciona el certificado SSL, puede usar el certificado de controlador de entrada predeterminado de Citrix.

Debe proporcionar el nombre secreto que quiere usar y el espacio de nombres del que debe tomarse como argumentos en el archivo YAML del Citrix Ingress Controller.

Controlador de entrada predeterminado de Citrix

        --default-ssl-certificate <NAMESPACE>/<SECRET_NAME> 

Anotaciones de servicio para certificados SSL como secretos de Kubernetes

El Citrix Ingress Controller proporciona las siguientes anotaciones de servicio para usar certificados SSL almacenados como secretos de Kubernetes para servicios de este tipo LoadBalancer.

Anotación de servicio Descripción
service.citrix.com/secret Use esta anotación para especificar el nombre del recurso secreto para el certificado del servidor front-end. Debe contener un certificado y una clave. También puede proporcionar una lista de certificados de CA intermedios en la sección de certificados seguidos del certificado de servidor. Estas CA intermedias se vinculan automáticamente y se envían al cliente durante el protocolo de enlace SSL.
service.citrix.com/ca-secret Use esta anotación para proporcionar un certificado de CA para la autenticación de certificados de cliente. Este certificado está enlazado al servidor virtual SSL front-end en Citrix ADC.
service.citrix.com/backend-secret Use esta anotación si la comunicación back-end entre Citrix ADC y su carga de trabajo se encuentra en un canal cifrado y necesita la autenticación del cliente en su carga de trabajo. Este certificado se envía al servidor durante el protocolo de enlace SSL y está vinculado al grupo de servicios SSL back-end.
service.citrix.com/backend-ca-secret Use esta anotación para habilitar la autenticación del servidor, que autentica el certificado del servidor back-end. Esta configuración vincula el certificado de CA del servidor al servicio SSL en Citrix ADC.
service.citrix.com/preconfigured-certkey Use esta anotación para especificar el nombre de la clave de certificado preconfigurada en Citrix ADC que se utilizará como certificado de servidor front-end.
service.citrix.com/preconfigured-ca-certkey Use esta anotación para especificar el nombre de la clave de certificado preconfigurada en Citrix ADC que se utilizará como certificado de CA para la autenticación de certificados de cliente. Este certificado está enlazado al servidor virtual SSL front-end en Citrix ADC.
service.citrix.com/preconfigured-backend-certkey Use esta anotación para especificar el nombre de la clave de certificado preconfigurada en Citrix ADC que se vinculará al grupo de servicios SSL back-end. Este certificado se envía al servidor durante el protocolo de enlace SSL para la autenticación del servidor.
service.citrix.com/preconfigured-backend-ca-certkey Use esta anotación para especificar el nombre de la clave de certificado de CA preconfigurada en Citrix ADC para enlazarse al grupo de servicios SSL back-end para la autenticación del servidor.

Ejemplos: secreto front-end y secreto de CA front-end

A continuación se muestran algunos ejemplos de la anotación service.citrix.com/secret:

La siguiente anotación se aplica a todos los puertos del servicio.

        service.citrix.com/secret: hotdrink-secret

Puede utilizar la siguiente notación para especificar el certificado aplicable a puertos específicos, asignando portname o port-protocol como clave.

        # port-protocol : secret

        service.citrix.com/secret: '{"443-tcp": "hotdrink-secret", "8443-tcp": "hotdrink-secret"}' 

         # portname: secret

        service.citrix.com/secret: '{"https": "hotdrink-secret"}' 

A continuación se presentan algunos ejemplos de la anotación service.citrix.com/ca-secret.

Debe especificar la siguiente anotación para adjuntar el secreto de CA generado que se usa para la autenticación de certificados de cliente para un servicio implementado en Kubernetes.

La siguiente anotación se aplica a todos los puertos del servicio.

  service.citrix.com/ca-secret: hotdrink-ca-secret

Puede utilizar la siguiente notación para especificar el certificado aplicable a puertos específicos, asignando portname o port-protocol como clave.

  # port-protocol: secret
  service.citrix.com/ca-secret: '{"443-tcp": "hotdrink-ca-secret", "8443-tcp": "hotdrink-ca-secret"}'      

  # portname: secret

  service.citrix.com/ca-secret: '{"https": "hotdrink-ca-secret"}' 

Ejemplos: secreto de back-end y secreto de CA de back-end

A continuación se presentan algunos ejemplos de la anotación service.citrix.com/backend-secret.

  # port-protocol: secret
  service.citrix.com/backend-secret: '{"443-tcp": "hotdrink-secret", "8443-tcp": "hotdrink-secret"}'      

  # portname: secret

  service.citrix.com/backend-secret: '{"tea-443": "hotdrink-secret", "tea-8443": "hotdrink-secret"}' 

  # applicable to all ports

  service.citrix.com/backend-secret: "hotdrink-secret"

A continuación se presentan algunos ejemplos de la anotación service.citrix.com/backend-ca-secret.

  # port-proto: secret
  service.citrix.com/backend-ca-secret: '{"443-tcp": "coffee-ca", "8443-tcp": "tea-ca"}'      

  # portname: secret

  service.citrix.com/backend-ca-secret: '{"coffee-443": "coffee-ca", "tea-8443": "tea-ca"}' 

  # applicable to all ports

  service.citrix.com/backend-ca-secret: "hotdrink-ca-secret"
Certificado SSL para servicios de tipo LoadBalancer a través del recurso secreto de Kubernetes