前面提到在 Kubernetes 中,各個容器之間通訊大多是使用域名進行通訊,但是在 Kubernetes 中核心服務之間通訊都還需要憑證的東西,才能進行通訊。因此這篇先為各位介紹憑證相關的知識。
憑證這東西說起來不難,但很多人不太理解這個在幹嘛。
簡單說就是在網路環境中,由於無法知道連線的是否是正確的服務,像是今天我要連接到 Google ,但突然有個服務冒出來跟你說它就是 Google ,這時我無法得知我連接的是否為正確的網站。如果是 Google 可能還好,但萬一是網路銀行之類的問題就非常大了。
因此需要有個具備公信力的組織來進行背書,這時憑證就出現了。
所謂的憑證就是我們連接服務時,服務會附帶一份自己的憑證,我們可以拿這份憑證向憑證頒發者詢問是否為它頒發的,正常這份憑證會是獨一無二的,憑證頒發者在頒發前會向服務擁有者驗證相關的訊息,確保擁有者正確無誤才會進行頒發,因此我們就可以透過憑證來確定我們連線到的服務是正確的。
那今天就到這邊,各位明天再見。
iThome鐵人賽
看影片追技術