我今天和大家分享的主题是《关于Ease 9的安全相关》的一个话题前面大家讲的大多都是流量这些相关的实际上就是像大家开始用网格会用Ease 9的时候其实说的比较多会用的比较多就是可能流量和可观自信会多一些但实际上随着我们用网格或Ease 9用的多一点会发现其实它会发现它提供了一个很强大的一个安全能力但实际上与其说它提供了一个像我们经常说的什么认证 授权 这样一些可媒举的一些安全能力还不如说它实际上提供了一个实际上一个比较完备的安全模型这些东西有时包括我们这些从业者有时候会对外讲管这叫一个灵性认人网络对吧灵性认人安全网络我今天分享的其实是这个人家一个小点就想看一下SedMander怎么和Ease有结合来提供一个灵活的又有效的安全能力那个这个是一个我的一个简介我是那个华云分布日原生的架构师但是从2018年开始一直也在负责华云应付网的这样一个云付然后得益于中伙和我们团队同事在开案的供选案外有幸就是本届是那一类Steel Commitment成员从2018年应该是19年嘛原来我们团队一起写过一本原生付网的Ease的书然后当然今年5月份的时候又写了一本就是Ease有全人指南的书可能就早上中伯给大家好像有我们有同事拿到过我今天的一题主要分为这样四个部分第一个是一个简单背景然后第二部分是说当前Ease有的安全里面碰到安全的证书这一块碰到什么问题再一个就是SedMander给的一个解决方案最主要的是下面的两个实践一个是就是Ease有它的书C这一块SedMander怎么帮它去做的另外一个东西就是我们大家经常用到的就是在英国的skate会上SedMander怎么去帮它去维护证书的这是一个简单背景其实是说零信任网络这个东西零信任安全这个模型实际上的内容挺多的我们今天只是简单讲一下做一个理解点和上下文讲一下与我们这个相关的要知道的一些东西首先上面这个当然那个其实来源挺杂的我就搞了一个我认为这个地方可能稍微强一点就是摘了一下就会危机上的就是它是说零信任安全模型其他描述的还是一个就是这前面是个定义是一个IT系统的一个策略设计和实现的一套方法然后它最后我们大家经常说的或者只要了解到就是说它的一个核心理念就是永远不要去信任永远都要一直去认证而一直要去验证对所以的话就是说你默认情况下我对这个环境上所有的东西我都认为是不安全的从字面上我早期有的时候我同志会理解成说零信任的就是不信任的安全这个关系就是正好说反了然后它强调的一个就是基于一个强生命认证然后在所有的访问之前我进行一个教验看你有没有传线然后最强调的时候给一个最小特权访问对一些我们认为需要保护的资源对一些我们要进行数捷管理的资源然后怎么达到这个模型呢这是上面一个就是意思有零信任安全它的一个不意思是零信任是一个零信任安全它架构着一个一个点进那个抽象的一个实现我们从这个图上从应该从先从那边看吧左边是吧从最左边来看左上角来看是说那个results就是说我零信任安全模型里面我去保护的资源你可以是经常我们说的像一个数据设备服务只要我想去对它进行保护的证明在那个模型里面对人是一个是一叫results然后另外右边右边这个是一个叫subject是一个我们一般其实简单里面就是一个扣子端嘛就是一个访问者我不管是来自来自一个网络内部还是一个网络外部反正是任何位置的我认为这个来自这个扣子端的访问都要去对它进行一个进行一个检查然后最核心式中间那一块叫PP就是策略执行点就真正的做零信任还有一个控制就在这样一个地方它里面会就像前面我们模型里面要求的会对服务者的一个身份进行一个强承证证然后去教育你的身份然后再去动态去看一你的给你的数权的这个策略然后那个检查你是有没有全世界访问后面资源而且它里面有一点比较强调就是说不像传统的我们去访问的时候我们认识对一个连接对一个就是说我只要从对一个网络的一个入口比如说原理用访问墙或者是IDS这些东西我的入口进行一个控制就好它实际上里面就是不管你这个你这个你这个访问者来自网络任何位置我都要去检查你而这个检查它是按那个描述来说的话实际上它是每绘画甚至说每连接的检查也就是说非常动态的你即使一个请求你上一次过让你过然后下次有可能你就过不了了你过不了的原因有可能是你是什么带着一个什么小属性变调的对吧你那个属性比如头预带着这个东西是OK带另外一个东西可能就不OK然后或者有可能说你前面过是因为那个测这个变调的你刚才的时候我允许你过那一会儿时候我把侧里稍微修改一下你下一个连接直接就给你断掉了就说它整个是一个动态那整个上面这些它所有的控制的东西就在一个它叫PDP的一个地方就是一个侧里侧里也配检查的一个地方然后其实大家如果熟悉这张图会发现刚才那张图也很熟悉对吧那张图是一个简单模型图这张图应该大家从意思有官网上这从1.5开始1.6之后这图就开始慢慢出现了一直就保存到现在这里边大家会看到从这个TOP不叫TOP就整个模型我们抽象看跟刚刚的图是非常像这是可以理解成意思有它对零星网络的一个实现整个在这个上面来看的话实际上最核心的就是我们刚才讲在零星网络里边它核心组件就要一个PDP实际上意思有点核心我们说赛德卡当安密的卖是以后这种虽然以后我们可能不管这样叫赛德卡但我们管它抽象也会叫一个代理有人管它叫Gateway对吧但它还是个代理对吧Gateway代理什么这些东西都是一个东西它整个来说它在里边就是网格的代理它其实在零安全心里面它扮演的就是一个PDP很好的扮演一个PDP的角色因为它是我们都知道像大家今天好像都不讲非侵入是吧因为大家都知道它非侵入的方式拦截了流量然后拦截到流量之后就可以做任何的事情我们说的流量的口罐性的那包括当然包括安全的东西在E6里面最后大家都应该很熟悉因为我记忆负载了身份然后去记忆负载了身份然后你伸上证书然后把身份签到证书里面然后记忆证书我去认证认证完之后然后在两边双相进行MTS双相上一个透明的一个TS然后把我中间通道进行加密然后包括刚才说到的那些东西你里边我通过上面配一些授权测证来控制说你这个服务可以访问那个服务可以访问这个服务的什么样的东西什么样的接扣之类的这些都可以借成一个非常细腻的控制而且它里边就有一个特点就是我们说的大家如果熟悉一些那个是一个保留室里面的就是人手上测的那个东西就发现它这边细腻的那个方法正好是完全实现了或者满足的零线网里面要求那个它的那些动态的要求而且也基于这种方式能实现一个它这边不是也有些就数前测的那边它有些那个覆盖关系非常灵活我们可以定义出来满足那个零线要求的那个最小特权最小特权的方案的一个实现而下面是那个是个控制面就是我们所有的不管是流量各个人进入安全测的通路配下去实际上那个PGT的就可以在这实现对我可能稍微回一下大家有看到这意思有官网这样图它有几个地方把这个有一个我们叫啥叫橘红色吧这几个小点对其实原来我还没注意我这次写这个材料这发现还有这么个东西就这个里边其实就是它里边证书对吧就是这个可以看到在这个里面在这个里面在这里面实际上在任何的那个不管在Ease Oil里面还在任何的一个所有的一个我们叫安全模型里面证书都一定是一个最基础最核心的一个东西那我们今天讲的其实其实就这一块我下面我现在也不回了虽然这一块我下面又会看一下Ease Oil的它提供的安全里面它证书管理这块碰到了一些挑战分几个来看首先第一个就是说大家最熟悉的一个就是Ease Oil提供了一个透明的MTS对吧这个大家都更熟悉就是说就刚才也有提到一些就是我们通过网格的睡眠袋里去拦截流量然后通过负载的身份一般就像在KBAR这边像那个负载Service Count的就于这个身份我给它签一个证书签个证书签在证书里面插五连接证书当地都透明的签个证书然后去拦截流量然后在中间做一个双线认证让记忆后边再做书去它签证书的过程实际上大家再熟悉一点看到实际上这边我们再细一点看其实有一个Ease Oil Agent对吧它生成一个先自己生成一个记忆附在生成附在的私药然后在上面再去上面连接Ease Oil地里空的面前面有一个CS2请求然后带着附在身边说签一个证书回来签证书回来之后然后引摸一个东西它从Ease Oil Agent里面通SDS把这个证书和私药拿到然后就能做刚刚说的那种双线认证的事情这个流程实际上我们看到其实Ease Oil来讲我们对外包括我们也对外老师会会步道就讲说Ease Oil提供了一套一套什么证书机制并且证书过期之前Ease Oil Agent它会自动给你做虚签这些东西看着非常完备对吧但这边有一个核心的问题在于说你这个证书往上签你的证书跟证书从哪儿来就Ease Oil Agent从Ease Oil地区签证书你下面的负载都可以从根转签到证书而且一直能做证书轮转这种什么做得很好很完备但你的根证书是从哪儿来的咱Ease Oil其实大家如果那个从社区里边来看到实际上是说你只要把装上装起来它所谓叫一键齐用它里边给你自签了一个可能是十年的证书对吧一个生成一个自己生的一个私药然后拿着私药自己签了一个证书然后让你里边用你看到的话Ease Oil地区里面但是让这个东西在我们我们产品里边你这样用可能是就不是很合适而且有一个我们就在原理上也有一个小细节比如说现在我们画的是一个空中面如果有多个空中面大家都是自己签自己的那你两个负载之间想去做一个认证那就是没法认证了对吧你不是从一个根上来的这是一个场景另外一个场景就是说这个东西大家也应该非常熟悉就Ease Oil地区提供了英国艺术这个TAS termination就是说我里边这个图可能大家很熟悉就是我来一个客户端我去访问网格里边的服务访问网格里边的服务的时候其实在英国艺术队上我们会给它配一个入口的证书然后英国艺术队会和那个客户端一般像榴栏器手机这样的东西让交互给它做一个认证做一个认证然后在这个时候再做一个TAS termination对然后实际这种方式的话实际上就我像我们这个入口这个方案的这个服务你就不用自己去维护证书也不用自己去自己从去里边去试一下这一套和你的客户端做认证的这一块逻辑然后那个英国艺术队就把你原来从外边来的像我们写一个HTBS一个流量你转成一个HTBS流量并且在这个时候因为挂了你服务的证书客户端就可以认证这个服务端当然这个东西你也可以搞双生认证一般我们都是搞大家都会把模式配成一个simple模式让客户端只是交给服务端你把服务端证书挂到这个上面就好了它通过TAS termination叫我们叫一个TAS终止或者一个TAS卸载然后完成这样一个过程减缓服务的开发以那个英国艺术队应的就是E-GRACE对吧以那个TAS termination队应的就是网格里边E-Series也提供了一个TAS origination就是一个我们中文翻译过叫一个TAS发起吧也行就是其实上也是差不多就是我网格里边的服务访问外边服务的时候我让流量同一个E-GRACE gateway来走然后这个时候E-GRACE gateway我会配一些你和外边服务交互用到这个证书这个时候算我里边这个服务比如我里边写了Backhand的这个服务防外边服务的时候我是用的是一个还是ATV的一个请求但是外边服务需要认证我里边会再把这种放在E-GRACE gateway上E-GRACE gateway在向外发起的时候发起访问的时候它可以做一个做一个TAS的一个请求和外边服务进行一个认证和一个TAS的交换对这种方式的话实际上就减化了你那个网格里边服务的一个开发这是列了一个表格大致比较小就是说我里边可能我可能材料写的还是比较细啊那讲不用讲这么细了我们关注这样几点一个的话就是说我们的三项一个MTS一个TAS termination一个TAS ordination这几个东西它作用的位置是有点不太一样一个的话比如说MTS一般中一般做的是网格内部服务嘛就是那个服务之间让TAS termination作用在网格的一个入口就是跟调用方的服务做一个交货认证然后TAS ordination作用在一个一般作用的网格出口进行服务外部服务然后另外一个我们关注点重点关注点就是关注证书这个事这个地方我们看到我刚才其实讲到英国S Gateway和英国S Gateway它上证书都是用户配进来的对吧比如英国S Gateway配进来的话是配服务的一个证书让客户端去教验然后英国S Gateway配的证书可能是服务端证书我去教一下那个服务端然后呢Sitecard上这个证书那当然是我们说的是那个网格控制面它自己动态生成的这个最后有Sitecard是扣它是那个上面生成的我也讲到它的更重书也是要管理的那我们英国S Gateway英国S Gateway你去上传那个证书那个管理当然更是必不可少的我们自己做着操作时候也能感受到那这样做的话实际上就有几个问题存在了就是说这是我先讲的就是我们现在碰到的一些问题当然因为我是做产品的所以里边这个有些东西感知我可能会更明显一些第一个我们就在证书里边我们要去是要很直观那个你要避免一个系统当机别说服务与客户你尽量不要出现一个证书的原因导致系统用户的用户原来通的东西突然不通了但非常遗憾的是在包括我们自己包括我聊天的我们其他的包括大家估议如果参与这个就也都知道吧或甚至都经历过这种东西其实非常遗憾就是经常证书的问题在我们线网上就这样的反正不太小这样的挺那什么的一部分就是我们叫事故或者一些那个影响用户业务的一些故障对所以说是咱们遍远当机这个事是一个非常大的一个通电然后另外一个东西就是说咱们动态地去给他那个做证书讯先这个实际上你第一个也相关嘛好多时候那出问题就证书过期了然后就是原来的话在系统里面传动我们一般做一套就给这边配个告警对吧就是我去看一下证书是不是过期了过期发了告警然后SR以后OPS上去给换个证书上去对吧这里边就是你人工操作有些时候还是容易出问题有时候你要么是我们曾经经历过就上传证书传错了就那个就是被64那一下好像多搞了一下让到这就有问题就你人工出你人工去做这个事情就是就是还是不保险然后再一个东西的话就是我们需要一种自动化的东西去解决改善一个减少人工的功能量再给避免人工他的出错再一个的话就是证书配这个灵活性就是我要写实面证书我最好是我是证书里面有效器多少啊什么DNS写多少我只要一写你就会生耍就好了不要我在那在你一个界面上去在那点点点的生了一堆东西再一个的话就是有一个需求吧当然这是从广诺来看就是我们希望这个证书呢他的意思就是证书发行者比如可以是一些私有的CAA或者工人的CAA根据我的需要就是能支持广泛的证书发行者虽然一般有些我们是这个放在后边一会儿讲然后另外一个的话就是最好是能和原生有些结合就是说不管是像KBS这样的原生平台还是我们自己大家在KBS或者意思要吧这些平台有不少的服务希望和这些东西有一个比较好的结合让它就好用对 比方是管文件啊管这些东西我还得什么帽子跟文件什么怎么样对 最好是和原生有一个比较好的结合那这个的话怎么解决这个问题其实虽然当前来看生耍者是比较好的一个解决方案对 它能提供一些我们想要的东西我们看一下这是一个他的一个生耍者从官网上的一个介绍就是文字我摘的全部烤下来文字有点多我们看关键的好了他就是标黑点虽然他认为自己是一个强大的是以最后KBS之上的一个强大的一个强大可扩长差5.9的一个生耍者的一个控制对 他可以根据你的配置从各种不同的意识就证书发行者那里边可以是公有私有的一个那个私业那边去签证书然后保证你证书的一个议号器并且保证在那个证书过期之前能给你自动续签这下面它列了一些场景我们可能就不用过了因为后面一会儿有时间的时候我们可能会看得更清楚一些其实前面我们一直在说证书我们可能愿意在这儿稍微补充一下就是说当大家可能这是一个基本东西就是从一个我们叫非对称密码学的角度来看实际上我们一般大家知道我们证书是不要证书吧我们一般要做一个加解密一般会有一对吧密码 私码 对吧然后证书实际上就是CAA认证过的一个功耀所以它本身也是公开的但私码本身实际上都是不会公开因为私码里边现在我们现在一般用的是大家会翻有点累一类的话就是那个在证书所有者那边维护比如大家看到那个Easeio里面它那个派的agent就签的时候往上CSSR签的时候它那个私码就维护在派的agent那地方因为它是那个底下负载证书所谓者在它的维护另外一个更常见的一个是一个或者更传统的一个是一个证书维护在第三方的密码是维护在第三方的权威系统里面比如说我们去一个厂商的一个CNA去签的时候你看你签到的签到CNA原来只是一个功耀只是一个功耀或证书它没有 不用给你私码的对 是一个费人质量的但实际上我们只要拿两者拿到一对的这个那个功耀私码就可以对自己的那个进行后边的一个证书的应用这是一个CNA的它一个架构图吧因为上面有些箭头我们甚至可以把这些程式一个流程图从这样的图上来看到我们是关注这样几个我们从下往上从上往下吧就重点实际上它里边概念还挺多的就CNA大家先去看它官网上的内容现在其实越来越越来越多了大家重点其实我不知道大家如果留意过头就还好如果没留意过头我希望我划上这个十来分钟讲一下大家把这些东西也就懂了你都不用去看它那个实际上主要你理解上有两个概念就我摘到这个点一个叫EASR有一个叫Satificate第一个就是EASR就是一个签发者实际上就是包括EASR里边它那个大家看到它那个授权侧里边也有什么EASR这样一个字段嘛对吧它就是说证捉签发者就是这个证捉是谁要签发的在里边的话SedMander它支持对接多种不同的一个证捉签发者就像上面列到那些你可以有一些是内置的当然你也可以自己去自己去通过写plugin和一些SRD去里边扩展那块然后另外一个下面是一个Satificate就是一个证书对吧你描述一个通过一个本身也叫KBAS也叫一个SRD一些把证书配置好里边配一些我这个证书的邮简器啊那个什么多长时间去签啊之类这些东西然后这次SedMander它就会帮你帮你管理证书那详细流程大致是这个样子就是SedMander他其实工作的时候就说他给你配的这个EASR他会去连你这个连你这个证捉发行者连这份存贩实际上就是说实际上就是说给你Satificate里边描述的那个证书的一个要求生成一个SRD去那EASRD里边去签发证捉签到证捉之后呢签到证捉把这个证捉了再存到下面它这个地方就存到一个Satificate里边配置的一个Secret里面去所以最终那个签到证捉是存在KBASSecret里边的对下面的话就是那个就是背景SedMander背景也就两页我们简单介绍一下因为它内容我们可能展开不是我们今天主题我们先用重点看一下去下面两个实践通过两个实验来看一下它咋用第一个的话就是我们说的就是EASRD ROOT-C这一块它是怎么去通SedMander去签的这个图的话实际上是我前面其实有一张图大家可以看到其实这张图就是在前面那个EASRD那个MTS那张加过我图上我上面就蓄了一部分对吧就是把上面那个根据证书管理那部分给它蓄在上面然后然后整着整的有一个完整流程这个东西可以指示吧可以看到主要是我里边写着写着这么多步里边词有点多我们看一下主要是看一下前面这几步第一步的话就是一个在一个PCA的一个C层次结构创建一个PCA的一个C层次加构就包括一个C和它一个重塑C这个东西再下一个就回家我们大家可以理解就是在一个PCA这个系统上其实我们是一个操作在华为的SedM那个PCA上我们是生成了一个生成了一个根据证书和一个重塑证书就概念下一个我们再讲然后生成这个东西之后呢生成这个东西之后然后我们是那个然后把这个把这个重塑C配置成一个这个SedMander的一个一个意思也就是说那个我去通过它去签发C去申请C然后SedManderSedMander然后去连它然后生成一个生成一个其实是一个C生成一个C然后存在这个它的空里面来然后呢并且它就维护这个一直去观众就是保持那个C不过期如果过期的话它就再去签一下那有了这个东西之后呢下半部分这个东西实际上就跟我们刚才前面那个讲的差不多了就这边有这个根C之后呢E4D它就基于这个根C然后它去再跟下面去交货比如说有这个CSR签着这个证书然后这个这个书一面加在这个证书然后加在这个负载证书然后双样做一个双样认证保后面的书权之类的东西那下面这些几我们就就不讲了然后这个的话就是我们重点关注下就是刚才我们说到那个CADC这个层次结构就我们签到的话实际上是这是我们的实践里边的一个层次实际上你层次可以跟这边这个也不太一样可以看到这个里边是它分了四层第一个是根C然后中间两层层下面是一个我们有交一个实力证书有时候也交一个业子证书吧就是说前两层是在PC里边维护就我从一个PC系统签了一个入C还签了一个出C然后下面两层就是SoldMand它就从这个地方拿这个C一起做一个做一个根C然后去去做一个医术然后往附在上去签它的一个签到一个根C然后让它用它在签发下面的实力C这里边有几个数语我们大致是介绍一下我们创下网上看比如说这个叶子证书吧叶子证书有些地方好像叫实体证书花园官网上管理叫实体什么中端证书吧反正大致是一个意思它说的意思就是我们真正在底下负载或我们服务用到的证书它本身来说就是去里边签的是你负载的身份用你下面的负载真正去通信的时候做一个认证用的然后它本身你是不能拿它再去签其他的C的因为它已经所以它叫一个叶子咱们整个C的层次架构上它属于最下面一季然后上面是根证书就这个根证书它是我们整个一个我们叫一个认证体系的一个一个信任根所以根证书它对一个安全要求就非常高你不能我们尽量把它用得不要太频繁因为如果一个根C如果你吸漏的话你下面整个分支就全部的这个全部的调要重换了对吧为了保护着根C为了保护着根C的安全所以在那个C的层次架构上它就引入了一个叫重处C就中间这些部分就中间这种它一个作用就是用来隔离一个根C和下面我们那个实体认书或一个叫叶子认书一里边的话如果有这个重处C的话实际上我如果当然我这个是已经只搞了一个实际上这是一个树状比如说我们这可以再一个分支我如果真的是一个重处C不要心让它泄漏的那实际上我干的是实际上就把这个重处C下面这个东西全部就给它废弃掉或者从你给它换一下就好了也不影响这个根C对然后实际上从实用中间来看的话因为一般根C它一般用的频率比较低然后我们一般用的时候在这个层次架构上我们认为是要求从Mander它里边也是这么大家就说一配的时候会发现它要求所有的一个一个重处的一个架构从下到上一直递减的你比如从这个C前一个C你把这个C的架构要求要签的比它长你签不出来的但你各个云场上里面你就操作也是签不出来的这是它要求它重处的一个要求是从上往下是递减然后重处的一个安全级别从上往下也是一次递减的这样根C它是安全要求的最高一般的话大家去看一下有些介绍可能要离线咱们就各种方式去保护所以根C因为实用频率比较低然后安全级别比较高所以根C一般时间可以搞得长一点有些是10年 30年都可以然后这个重处随意的也根据你的实用情况因为它属于中间位置然后根据我们自己的用法一般我们像我这个例子表我可能签了个两年让它就可以用下面叶子随意的话那就是因为你在这里边到处是给配到你的口段上去了对吧这个东西实际上底下就已经可见了所以它的安全级别应该是最低的实用最平准的所以它的时间一般签的会比较短因为应该我们身上大家有时候签一年两年有些可能要求高点你觉得还签几个月甚至有说法签几个小时都有这是那个就是那个接触的图案就在那个C在M上我们去创这个C的时候就创出来的就是创了这几个C一个是一个根C然后ISM跟C然后另外也是一个重处随意这是根C的一个一个相亲这是重处随意的一个相亲这个反正我们这是个背景就好了里边反正能看到就是里边我们能配一些证书的有消息然后这些东西包括因为我这个签出来是一个是要给网哥的控制面是签证书的一个证书所以它是个C这边应该有一个字段叫AC吧不好意思 图阶堂不让你签出来我再找不见了算了反正就是里边有一个就是咱们在界面选说它让你选项这是不是一个C这就是那个这就是那个配置吧就是在我刚刚讲到在Sentment里面我们去逛证书的时候主要是有两个配置一个叫预书一个叫Certificate这里边它就是描述我怎么去我们怎么去连怎么去集成我的预书因为里边包括在社区里面它有有自己内置的预书然后在那个在一般厂商它做的时候包括开案里面它会都会有自己的不同那个实现当然这边有些东西因为有些东西再变了所以把有些那个字就给我给它引掉了就说是你这个CCM这个这个我们叫空凛这个你这个叫Adama你怎么去连你这个真正的一个证书发行者然后签证书在这儿配然后这个地方就是个通用的了所以Certificate长得差不多我们关注这样有这样几个几个字段嘛一个叫NC就是我这里边我这签到这个我从那个PC里边签到的证书是一个是一个C对我要用来签到其他证书然后另外就是这个证书预要期是用个小时来表示再一个就是多长时间的证书过期再一个就是签完之后这个证书穿上那个地方这就是在Easeout的这个配置因为有证书之后这个东西实际上大家都非常熟悉的实际上就是一个P or P authentication配一个我的服务是一个做一个双人证我里边是用一个严格模式然后里边就是说我服务的话不要建议配一下我用的是一个Easeout Mute就是我做一个Easeout管理的一个双人证然后这个的话就是验证一下实际上就你从把这个把其用之后在一个容器里边去Certificate那个目标服务你可以看到我们这都是HTB的也说明里边这个证书这个东西都是网格或者它自己透明的做掉了包括我们去看那个防暗质也可以看到都是ATB这个流量TLS所有的东西都网格术一面和自己的控制面当和外边的它的那些像Sermon这些东西结合它帮我们已经做掉了下面一个实践的话其实是一个是一个Sermon的是去管理那个Inverse Gateway证书这个图的话其实也是可以看到跟刚才那个图约类似的就在上面加了一个加了一个证书管理这块的一个逻辑就是说我们在Sermon这个创建一个艺术然后描述我从哪去获取签发证书然后另外一个是证书本身的描述然后签发证书存在Secret里面去然后那个Secret让我们通过Gateway那个对象我们会把它一个它叫Emercom叫一个commodation name或者一个东西配Secret然后Gateway就可以用这个然后Gateway去到这个证书其实这里边是因为是一个是一个我们刚讲的一个是一个实体证书所以里边Secret存得出的证书之外还有它的一个还有一个名字要了对吧然后Gateway加在这个东西就可以和我的一个口段做一个认证这就是刚才前我们讲到的这块下面流程让我简单讲一下这就是我们对应的就是我还是两个主要对象我想给它配置一下一个是配一个Esu一个配一个CertificateEsu的可以看到这个配置方式和刚才那个已经有点不太一样这就是我用的要为了演示一下用的另外一种形态的Esu它实际上是一个叫在Sermon这边叫一个C类型的Esu也就是说你这个签发证书的Esu它本身它那个Certificate和证书是存在这个Secret里面的但是这个怎么拦的就是另外一回事了就你在KBS里面我创建一个SecretSecret里面包含一个我的证书和Certificate但是这个东西这个证书本身它实际要是一个Cert所以有这个东西我就可以用这个东西做一个C再接着再去签发其他的证书和签发其他证书其实应该讲签发其他证书和生成实体生出的私药让下面的数据面去使用那这块的话实际上刚刚那个字段有点像大家看到有一个比较明显的不同就这个地方Ace我设成是一个False就说这个东西它是一个实际证书你不能再拿着它去签证书了然后这是一个证书有好奇包括这个里面是一个证书的一个许前段时间我要给它许前这个地方是生成那个证书那个和那个私药我把它存在那个位置这是一个DNS它的那个域名那这个的话就是Ace有这边的资源大家不要熟悉就是一个是Gateway一个是FalseGateway里面你看大家看到外表会配一下我从外部访问这样一个域名然后服务本身那个协议比如我们会配你对外部是TS或HTS我们配上一个RTBS或者一个TS然后重点是这个嘛这就是我们刚才生成的Satman帮我们签到那个中处私药的存在那个secret就Ingress ServerSert这个东西配上之后它就可以用基本上写成一个simple因为大家也用过我可以写simple而且没有调制的东西依赖你是做什么认证像我们这个例子里面我就做的是一个只是让那个扣服单认证服务单服务单不用认证扣服单所以里边的话就是一个单项认证配个secret是simple motion然后这个Virtus S这个就是非常常规的就我们配个域面然后有这种匹配条件也没写上让流量通就好然后这个里边的话就是说就刚才我们看到的话我把那个我们做那个证书给它pass出来看一下这里边就是说我先从那个就是guide certificate就是这个Satman带它一个一个资源文件guide就是我刚才创那个secret可以看到这个secret这边guide出来能看到我们配的那些东西DNS那边它duration然后secret那边包括这个东西它这边这个status会列出来说我这个证书它到底啥时候去过期那个对 开始时间是什么时候结束时间是什么时候其实就是它有效期然后还有什么时间我叫给它做引诱就从到期以后我要给它实现一下然后这个secret在那个Satman它生长好之后它会把它我们知道吗存在个secret里面去了所以secret里面去e-cell里面那个它这边那个我们config从那个随便一个引诱上你把它config.dump出来看到这个secret看到这个这一网配那个secret名dump出来就会把它这个把它这个把它这个证书的信息可以给它它在这边会包含当然这个key的话不会有因为它会给它过滤掉的把这个出来我们到bass64然后再给它解出来就会看到这边这证书的内容这就生成了就是我们真正书一面上用到这个证书内容给我们这边期望网配的证书内容是一样的以为这个店铆我只做一个做一个声明然后它自动就把这个给我生成好并且一直维护好所以它是个控制器维护好之后我们树一面就是只管去用它就好了这个的话跟那个类似就是一个访问就这访问的时候大家可以看到我在我的一个机器上我去访问这个我带来我用访英文我去带着这个带着一个带着一个服务端的证书说我去验证这个服务端然后呢然后呢去访问这个地址然后把它解到这个腰壁入口上然后访问这个育免率地址可以看到在那个那个访问的这个我实验的冲过了答应说这样这些步骤里边能看到其实它有做了一个TS的握手对吧我其实呢然后里边再去教人证书这些信息然后教人通过之后它把它发出去随时我们是访问成功了到达个HTB这个200这边我就描述一下这个过程它整个是一个你加载的证书然后是我们通过HTBS访问这个资料然后握手啊验证证书啊然后包括英国SKTU自动套会offload的这个TS然后和你然后最终去请求你最终的HTBS服务站这是在英国SKTU打印出来的一个access log可以看到它实际上证书可以看到这里边整个在那个右看到是一个HTBS的请求所以证书相关的东西都是这个KTU给大家已经做掉了好那个我的内容就是就是这些好那个谢谢大家这边有个小朋友就是早上那个时候对大家有一些详意没有这边可能有一些会写的更细的嗯好大约一点好喂谢谢他我们分享每次非常干货谢谢谢谢能翻到那个词乘那个那个那个图吗就是词乘那个证书谁要证书那个图读到这么慢了就是一个图我们有词乘的证书的那个我是往上看的那我翻得快了是吧不好意思我没说这个对我想问一下那个是不是第二层第三层就是有那个我们的设计码几层的嗯实际上是这样子实际上只有这个东西是大生产的啊这个两东西都是在那个CZM上我创出来的我创了一个其实这也能看到刚才刚才讲的不好意思我讲的刚有点快这个地方就是我创了两个两个证书嘛一个这是一个更证书对吧嗯读的证书一个这叫它已经是个重书证书就这个证书就是我们从证书�上来看这是一个更设计然后这个是称为重书证书然后我再设计码几层去配的时候呢配的配的配的那个意思是这个东西啊你看我这些设计码几层这个是跟着设计码几层把它配成A手然后用这个A手它会签发证书签发这个就是E4用到这个证书咱从E4整个它的一个所有的安全模型里边看它管它叫一个更证书嗯但它更证书实际上是拿这个是从这个重书证书签出来的一个是也是个重书证书好是个证书啊这是一个还有一个问题不好意思就是那个我想问一下就是我们的更证书切换的时候那么集讯中所有的的那个叶子证书都要切换对吧这个时候会不会导致业务中断啊这里边其实是这里边大家看这个是有实现的嗯是这样的就是现在E4TU里面这个更证书的这个C证书的这个替换现在还不是很完美但是因为最近那个包括主任也找我去交流一些这个更证书的就是切换的问题我们发现就是现在其实稍微改动一点就是增强一点它那个自动的特性然后基本上就能做到这个更证书的这个切换现在还缺一点代码的自动化基本上是其实上是没问题的啊我我我看理解不太深入了我就从原理上理解一下就更证书切换之后那么叶子证书的到那个认证是吧但是他会不会导致说两边中间有什么问题都是互动的事明白明白明白你的意思就是说我们在跟CA去更新的时候我们会有一段时间是有两个CA两个跟的CA是同时在的就是在那个会下发到这个Walker Road上面去了因为时间有限啊我今天大家最后一个吧另外刚才您提到就是在多个集群的时候那如果说啊他签的签的不是一样但以原来的这种方案里边那不同的如果是多个控制设计的话那他可能就有问题是吧在这种场景里面是呃就是怎么去保证这个问题呢解决这个保证问题实际上就是这样子就正好就是刚画面面这个的我们就看到这个图呗你就有点像这个我们把这里也成一个一色的控制面对吧这个控制面我这是另外一个控制面我们这再搞一个嘛这再分拆一个这两大家是同一个这是另外一个网格的一个控制面就是我们那个我们叫网格联邦或商人反正就是多控制面的一个网格嘛大家只要从这一个从这个从数C上签下来的那它这就是可以忽认的就可以就是你如果像社区原来我们搞那种自签发的那个东西那就没关系你这个私药这是自己这边生成那个私药随便生成私药这个私药签了一个自己的一个证书你这个证书和这个就没有一点关系了所以它是在负载这一层是不能忽认但是说我们从这签下来的它就可以这个东西其实我们画这个图你想想我们可以说这一色有一个多控制面也可以把刚才我那个描述回答成就是C的它的 hierarchy它本身的一个一个模特的一个图对吧你不管这里边是 Israel还要往手写的一个东西你这样满足这个东西它下面这一层就都可以忽认对就是让只要说多几群里面是用带一个面子多控制面多几天是不是咱如果用的一个空间下边极权发的一个关系那就没问题多个控制面的时候用这种对对对谢谢啊对