[Cert manager] 서비스 도메인 svc.cluster.local 과 HTTPS 통신하기

 

 

쿠버네티스 내부끼리 통신을 할 때 보통 서비스의 도메인 svc.cluster.local 을 이용하여 통신하게 됩니다.

 

외부에서 내부로 들어오는 통신에 대해서는 Ingress 를 이용해 https 통신을 하게되죠.

 

하지만 Ingress 는 내부 통신에 대해서는 https 통신을 보장해주진 않죠. 이 부분에 대해서는 Istio 의 mTLS 를 이용해서 파드와의 통신은 모두 https 통신을 하게 할 수 있습니다.

Istio 의 mTLS 가 궁금하다면?
[Istio] 쉿! 우리만의 비밀이야 - mTLS (확인편)
[Istio] 쉿! 우리만의 비밀이야 - mTLS (검증편)

 

그렇다면 mTLS 를 이용하지 않고 내부 통신은 어떻게 https 통신을 할 수 있을까요?

 

정답은 간단합니다. 파드 마다 certificate 를 가지고 있으면 됩니다. 

 

이번 글에서는 서비스를 생성할 때 coreDNS 에 등록되는 svc.cluster.local 도메인에 https 통신을 해보고자 합니다.

 

렛츠두더코드~

 

 

Cert Manager 를 이용해서 certificate 를 생성합니다.

Cert Manager 가 궁금하다면 여기 참고!

 

Issuer 와 Certificate 를 아래와 같아요.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: service-https-test
  namespace: default
spec:
  selfSigned: {}
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: service-https-test
  namespace: default
spec:
  dnsNames:
    - service-https-test.default.svc
    - service-https-test.default.svc.cluster.local
  issuerRef:
    kind: Issuer
    name: service-https-test
  secretName: service-https-test

 

svc.cluster.local 의 소유자가 아니니 selfSigned 를 통해 Certificate 를 생성합니다.

 

최종적으로 Certificate 는 Secret 으로 생성됩니다.

Certificate 로 생성된 Secret

 

ca.crt, tls.crt, tls.key 가 생성됩니다. 디코딩 해보면 아래와 같죠.

ca.crt

 

 

Cert Manager 를 이용하니 확실히 편합니다. 없이 한다면 ssh-keygen 로 생성해서 하나하나 Secret 값으로 넣어줬어야 했을 겁니다.

 

그 다음으로 nginx 에서 사용할 config 를 configmap 을 이용해 생성합니다.

apiVersion: v1
kind: ConfigMap
metadata:
  name: service-https-test
  namespace: default
data:
  nginx-tls.conf: |
    server {
      listen              80;
      server_name         _;
      return 301 https://$host$request_uri;
    }
    
    server {
      listen              443 ssl;
      server_name         _;
    
      ssl_certificate     /etc/nginx/ssl/tls.crt;
      ssl_certificate_key /etc/nginx/ssl/tls.key;
    
      location / {
        root   /usr/share/nginx/html;
        index  index.html;
      }
    }

 

80 포트로 접근하게 되면, 443 포트로 리다이렉션 되게끔 구성하였고, server_name 을  _; 으로 설정함으로써 아무 도메인이나 다 수용합니다.

 

그리고 이제 서비스와 파드를 생성합니다.

apiVersion: v1
kind: Service
metadata:
  name: service-https-test
  namespace: default
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
    - name: https
      port: 443
      targetPort: 443
  selector:
    app: service-https-test
  sessionAffinity: None
  type: ClusterIP
  ---
apiVersion: v1
kind: Pod
metadata:
  labels:
    app: service-https-test
  name: nginx
  namespace: default
spec:
  containers:
    - image: nginx
      name: nginx
      volumeMounts:
        - name: nginx-config
          mountPath: /etc/nginx/conf.d
        - name: nginx-certs
          mountPath: /etc/nginx/ssl
  volumes:
    - name: nginx-config
      configMap:
        name: service-https-test
    - name: nginx-certs
      secret:
        secretName: service-https-test

 

어려운 부분이 없으니 따로 설명은 하지 않겠습니다.

 

그럼 이제 한번 확인해보죠!

 

서비스의 도메인인 http://service-https-test:80 으로 접근하니 리다이렉션 된 것을 확인 할 수 있습니다.

http://service-https-test:80

 

Nginx 가 사용하는 인증서는 자체 사인한 인증서이기 때문에 curl 명령어를 사용할 때 -k 를 붙여줘야 합니다.

 

 

이번에는 https://service-https-test:443 로 접근해서 https 통신을 하는 지 확인해보겠습니다.

TLS handshake 과정이 있는 걸 보니 아주 잘 동작합니다. 

https://service-https-test:443

 

 

뿐만 아니라, 파드의 IP 주소인 https://10.42.0.10:443 로도 가능합니다. 

https://10.42.0.10:443

 

그리고 당연하겠지만, 포트 포워딩으로 접근해도 가능합니다.

localhost

 

주의 요함이 뜨는데, 그건 인증서가 정식 CA 가 아닌 자체 사인한 인증서이기 때문입니다.

인증서

 

mTLS 를 이용하기 때문에 svc.cluster.local 에 대한 https 통신이 필요는 없었지만, 항상 궁금했던 부분이였는데 이번 실습으로 통해 궁금증을 해결할 수 있었습니다.

 

그럼 오늘은 여기까지~