Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Certificats pour l’injection d’un sidecar permettant le traçage des requêtes

Le mécanisme d’injection de sidecar, qui s’active lors de l’utilisation de --set httpHeaderInjectorWebhook.enabled=true lors de l’installation de l’agent, crée un certificat auto-signé et utilise un ClusterRole qui accorde un accès en écriture aux objets Secret et MutatingWebhookConfiguration dans le cluster Kubernetes.

Si, pour des raisons de sécurité, il est indésirable de créer ClusterRoles qui accordent des droits d’écriture à l’échelle du cluster, ou s’il existe des moyens alternatifs de fournir un certificat :

  1. Générez un certificat auto-signé localement.

  2. Utilisez le k8s cert-manager (s’il est déjà présent dans le cluster) avec un ClusterIssuer.

Générez un certificat localement

Pour générer un certificat localement, suivez les étapes suivantes :

  1. Téléchargez le script de génération de certificat et exécutez-le pour produire un fichier de valeurs helm (tls_values.yaml) avec le bon certificat :

    wget https://raw.githubusercontent.com/StackVista/http-header-injector/main/scripts/generate_ca_cert.sh
chmod +x generate_ca_cert.sh
./generate_ca_cert.sh <helm-agent-release-name> <helm-agent-namespace>

    Assurez-vous d’utiliser le nom de release qui sera utilisé dans la commande helm et l’espace de noms, sinon le certificat sera invalide.

  2. Installez l’agent en ajoutant la configuration supplémentaire avec --set httpHeaderInjectorWebhook.enabled=true -f tls_values.yaml dans la commande helm.

Générez un certificat en utilisant le cert-manager

Si votre cluster a le cert-manager installé, et un ClusterIssuer configuré, il est possible d’utiliser le certificat émis par le ClusterIssuer dans l’agent pour l’injecteur de sidecar. Pour ce faire, ajoutez les arguments de ligne de commande suivants pour installer l’agent : --set httpHeaderInjectorWebhook.enabled=true --set-string httpHeaderInjectorWebhook.webhook.tls.mode="cert-manager" --set-string httpHeaderInjectorWebhook.webhook.tls.certManager.issuer="<my-cluster-issuer>". Assurez-vous de remplacer my-cluster-issuer par le nom de l’émetteur dans votre cluster.