Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Certificados para la inyección del sidecar de seguimiento de solicitudes

El mecanismo de inyección del sidecar, que se habilita al usar --set httpHeaderInjectorWebhook.enabled=true al instalar el agente, crea un certificado autofirmado y utiliza un ClusterRole que otorga acceso de escritura a los objetos Secret y MutatingWebhookConfiguration en el clúster de Kubernetes.

Si por motivos de seguridad no es deseable crear ClusterRoles que otorguen derechos de escritura a nivel de clúster, o hay formas alternativas de proporcionar un certificado:

  1. Genera un certificado autofirmado localmente.

  2. Utiliza el cert-manager de k8s (si ya está en el clúster) con un ClusterIssuer.

Genera un certificado localmente

Para generar un certificado localmente, sigue los siguientes pasos:

  1. Descarga el guion de generación de certificados y ejecútalo para producir un archivo de valores de helm (tls_values.yaml) con el certificado correcto:

    wget https://raw.githubusercontent.com/StackVista/http-header-injector/main/scripts/generate_ca_cert.sh
chmod +x generate_ca_cert.sh
./generate_ca_cert.sh <helm-agent-release-name> <helm-agent-namespace>

    Asegúrate de usar el nombre de release que se utilizará en el comando de helm y el espacio de nombres, de lo contrario, el certificado será inválido.

  2. Instala el agente añadiendo la configuración adicional al agregar --set httpHeaderInjectorWebhook.enabled=true -f tls_values.yaml al comando de invocación de helm

Genera un certificado utilizando el cert-manager

Si tu clúster tiene el cert-manager instalado, y un ClusterIssuer configurado, es posible utilizar el certificado emitido por el ClusterIssuer en el agente para el inyector de sidecar. Para hacer esto, añade los siguientes argumentos de línea de comandos para instalar el agente: --set httpHeaderInjectorWebhook.enabled=true --set-string httpHeaderInjectorWebhook.webhook.tls.mode="cert-manager" --set-string httpHeaderInjectorWebhook.webhook.tls.certManager.issuer="<my-cluster-issuer>". Asegúrate de reemplazar my-cluster-issuer con el nombre del emisor en tu clúster.