内部ネットワークの自動スケーリングのための証明書?
SSL証明書を使用する公開Webサイトは、サーバーとクライアント間の信頼を確立するために証明書とCAを利用します。
自動スケーリングクラスターなど、短期間のホストが多数あるプライベートネットワークに、通常、同じことがどのように実装されますか?ホストが頻繁に作成および破棄されている場合、すべてのホストの公開鍵を他のすべてのホストにコピーしても、適切にスケーリングされません。
人々は通常プライベートCAをセットアップしますか?または、Kerberosのような対称鍵アプローチを使用しますか?または他のアプローチ? AWS、GCP、Azureなどのクラウドプロバイダーが推奨または提供する特定のアプローチはありますか?
注:これを設定するhowの技術的な詳細は求めていません。私は一般的なアプローチが何であるかを尋ねています。
内部CAは通常のアプローチです。更新時間の短い各サーバーの証明書を生成し、内部CAルートを内部クライアントマシンにインストールできます(グループポリシーなどを使用)。次に、証明書の生成と展開に役立つ証明書管理インフラストラクチャをセットアップします。
例として、 KubernetesはクラスターごとにCAを維持します 。これにより、各コンポーネントとワークロードは、管理タスク中に安全に通信できます。彼らは [〜#〜] cfssl [〜#〜] を利用して重い作業を行います。これは、Cloudflareが大規模に証明書を自動的にデプロイおよび管理できるようにする同じツールセットです。