Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Zertifikate für die Request-Tracing-Sidecar-Injektion

Der Sidecar-Injektionsmechanismus, der aktiviert wird, wenn --set httpHeaderInjectorWebhook.enabled=true bei der Installation des Agents verwendet wird, erstellt ein selbstsigniertes Zertifikat und verwendet ein ClusterRole, das Schreibzugriff auf Secret und MutatingWebhookConfiguration Objekte im Kubernetes-Cluster gewährt.

Wenn es aus Sicherheitsgründen unerwünscht ist, ClusterRoles zu erstellen, die clusterweite Schreibrechte gewähren, oder es alternative Möglichkeiten gibt, ein Zertifikat bereitzustellen:

  1. Erzeugen Sie ein selbstsigniertes Zertifikat lokal.

  2. Verwenden Sie den k8s cert-manager (falls er bereits im Cluster vorhanden ist) mit einem ClusterIssuer.

Erzeugen Sie ein Zertifikat lokal

Um ein Zertifikat lokal zu erzeugen, führen Sie die folgenden Schritte aus:

  1. Laden Sie das Skript zur Zertifikatserstellung herunter und führen Sie es aus, um eine Helm-Values-Datei (tls_values.yaml) mit dem richtigen Zertifikat zu erstellen:

    wget https://raw.githubusercontent.com/StackVista/http-header-injector/main/scripts/generate_ca_cert.sh
chmod +x generate_ca_cert.sh
./generate_ca_cert.sh <helm-agent-release-name> <helm-agent-namespace>

    Stellen Sie sicher, dass Sie den Release-Namen verwenden, der im helm-Befehl verwendet wird, und den Namespace, andernfalls ist das Zertifikat ungültig.

  2. Installieren Sie den Agent, indem Sie die zusätzliche Konfiguration durch Hinzufügen von --set httpHeaderInjectorWebhook.enabled=true -f tls_values.yaml zum Helm-Befehl vornehmen.

Erzeugen Sie ein Zertifikat mit dem cert-manager

Wenn Ihr Cluster den cert-manager installiert hat und ein ClusterIssuer konfiguriert ist, ist es möglich, das vom ClusterIssuer ausgestellte Zertifikat im Agent für den Sidecar-Injektor zu verwenden. Fügen Sie dazu die folgenden Befehlszeilenargumente hinzu, um den Agenten zu installieren: --set httpHeaderInjectorWebhook.enabled=true --set-string httpHeaderInjectorWebhook.webhook.tls.mode="cert-manager" --set-string httpHeaderInjectorWebhook.webhook.tls.certManager.issuer="<my-cluster-issuer>". Stellen Sie sicher, dass Sie my-cluster-issuer durch den Namen des Ausstellers in Ihrem Cluster ersetzen.