Kubernetes lernen und verstehen, Teil 5: Sicherheitskonzepte einsetzen

Bevor man man als Einsteiger mit den ersten produktiven Anwendungen beginnt, sollte man sich vorher mit der Sicherheit von Cluster und Anwendern beschäftigen.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
, Albert Hulm

(Bild: Albert Hulm)

Lesezeit: 18 Min.
Von
  • Jan Mahn
Inhaltsverzeichnis

Geschafft – in den ersten vier Teilen dieser Reihe haben wir Sie auf dem Weg vom Docker-Nutzer zum Kubernetes-Cluster-Betreiber begleitet und als Beispiel Schritt für Schritt eine WordPress-Instanz zusammengebaut. Bevor Sie das Wissen auf eigene Projekte anwenden, sollten Sie aber noch ein paar Sicherheitskonzepte kennenlernen und gleich von Anfang an einsetzen – das ist immer erfolgversprechender, als Security nachträglich an eine fertige Anwendung dranzubasteln. In diesem Artikel lernen Sie, wie Sie Ihren Cluster in drei Schritten sicherer machen: mit Transportverschlüsselung, Netzwerkregeln für Pods und Zugriffsberechtigungen für Admins.

Am Ende des vierten Teils dieser Reihe meldete sich eine WordPress-Instanz auf Port 80 per HTTP. Vor 15 Jahren hätte man damit noch Benutzer und Admins begeistern können, heute fehlt ein entscheidendes Detail: HTTPS mit einem gültigen Zertifikat, das von einer vertrauenswürdigen Stammzertifizierungsstelle stammt und dem die Browser vertrauen. Das muss man heute nicht mehr kaufen, Let’s Encrypt liefert es kostenlos und der HTTP-Router Traefik, den Sie im Laufe der Reihe schon installiert haben, beschafft Zertifikate von diesem Anbieter und verlängert sie automatisch.

Mehr zu Kubernetes, DevOps und CI/CD

Die erste Aufgabe, um diese Beschaffung einzurichten, hat nichts mit Kubernetes zu tun. Damit Sie ein Zertifikat bekommen können, müssen Sie einen A- und optional einen AAAA-DNS-Eintrag für eine Domain oder eine Subdomain setzen, der auf eine beliebige, externe IP-Adresse Ihres Clusters verweist. Erledigen Sie diese Aufgabe am besten mit etwas zeitlichem Abstand, damit sich der Eintrag in allen DNS-Caches herumspricht. Danach können Sie sich an die Vorbereitungen im Cluster machen.

Das war die Leseprobe unseres heise-Plus-Artikels "Kubernetes lernen und verstehen, Teil 5: Sicherheitskonzepte einsetzen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.