Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Esta es documentación inédita para Admission Controller 1.34-dev.

Uso de autoridades de certificación personalizadas

Autoridades de Certificación Personalizadas para registros de directivas

Es posible especificar y configurar las Autoridades de Certificación que un PolicyServer utiliza al obtener los artefactos de ClusterAdmissionPolicy del registro de directivas. Los siguientes spec campos configuran el ejecutable policy-server desplegado a tal efecto.

Fuentes inseguras

El comportamiento predeterminado de kwctl y policy-server es hacer cumplir HTTPS con certificados de confianza que coincidan con el almacén CA del sistema. Puedes interactuar con registros utilizando certificados no confiables o incluso sin TLS, utilizando la configuración insecure_sources. Este enfoque es altamente desaconsejado para entornos más cercanos a producción.

Para configurar el PolicyServer para aceptar conexiones inseguras a registros específicos, utiliza el campo spec.insecureSources de PolicyServer. Este campo acepta una lista de URIs inseguras. Por ejemplo:

spec:
  insecureSources:
    - localhost:5000
    - host.k3d.internal:5000

Consulta Autoridades de Certificación Personalizadas para más información sobre cómo el ejecutable policy-server trata las URIs inseguras.

Autoridades de Certificación Personalizadas

Puedes configurar el PolicyServer con una cadena de certificados personalizada de 1 o más certificados para un URI específico. Para hacer esto, utilizas el campo spec.sourceAuthorities.

Este campo es un mapa de URIs, cada uno con su propia lista de cadenas que contienen certificados codificados en Privacy Enhanced Mail (PEM). Por ejemplo:

spec:
  sourceAuthorities:
    "registry-pre.example.com":
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre1-1 PEM cert
        -----END CERTIFICATE-----
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre1-2 PEM cert
        -----END CERTIFICATE-----
    "registry-pre2.example.com:5500":
      - |
        -----BEGIN CERTIFICATE-----
        ca-pre2 PEM cert
        -----END CERTIFICATE-----

Consulta Autoridades de Certificación Personalizadas para más información sobre cómo el ejecutable policy-server las trata.