Skill DevOps & Altyapı →

mTLS Configuration

Sıfır güven servisten servise iletişim için karşılıklı TLS yapılandırmaya yönelik uygulamalı bir rehber.

Sertifika hiyerarşisini, otomatik rotasyonu ve kimlik tabanlı yetkilendirmeyi Istio, Linkerd, cert-manager ve SPIFFE/SPIRE için uygulamaya hazır şablonlarla kapsar; böylece dahili trafik her iki uçta şifrelenir ve doğrulanır.

₺369 tek seferlik
Bir kit içine ekle →

Fiyatlara KDV (%20) dahildir. · Gerçek ajans işinden çıkarıldı · tek seferlik, kilit yok

  • Tür Skill
  • Kategori DevOps & Altyapı
  • Teslimat E-posta · anında
  • Lisans Tek seferlik
Çalışma önizlemesi
forgehouse, mtls-configuration

Çalışmanın içinden · kara kutu yok

Satın almadan önce işin kendisini gör.

Her servisin kim olduğunu kanıtlaması gerektiğinde skill'in koştuğu birebir zero-trust kablolaması. Kara kutu yok, yaptığı iş bu:

  1. Önce politika duruşunu belirler: mesh genelinde Istio PeerAuthentication STRICT; PERMISSIVE sadece legacy namespace'ler için tarihli bir geçiş penceresi olarak kabul edilir, ayrıca port seviyesi istisnalar (metrik portu açıkça hariç tutulabilir).
  2. Güvenin iki yönünü de yapılandırır: mesh içinde DestinationRule ISTIO_MUTUAL; dış partnerler için açık client cert, key ve CA yollarıyla SIMPLE veya MUTUAL. Dışa giden güven de içe gelen kadar bilinçli kurulur.
  3. Sertifika ömrünü cert-manager ile otomatikleştirir: 24 saatlik workload sertifikaları, 8 saatlik renewBefore, doğru SAN listesi ve hem server auth hem client auth kullanımı. Manuel rotasyon gelecekteki bir kesinti sayılır.
  4. Hasar alanı için CA hiyerarşisini kurar: offline root CA, cluster başına intermediate CA. Ele geçirilen bir cluster CA'sı sadece o cluster'ın sertifikalarını iptal ettirir, kalanına dokunulmaz; multi-cluster federasyon için SPIFFE/SPIRE kimlikleri eklenir.
  5. Güvenmek yerine doğrular: servis başına istioctl authn tls-check, gerçek bitiş tarihlerini okumak için openssl ile çözülen proxy-config secret, mTLS'i Linkerd taşıyorsa linkerd viz edges.
  6. Handshake hatalarını yaşam döngüsü sırasıyla debug eder: TLS sürüm uyumsuzluğu, sonra CA güven zinciri, sonra SAN uyumsuzluğu veya süresi dolmuş sertifika, sonra cipher pazarlığı. Her birinin kendi kontrolü vardır, arıza noktası tahmin edilmez, bulunur.
Kullanım senaryoları · taktığında neler oluyor

Tek güç kaynağı. 6 hat dışarı.

mtls-configuration · çekirdek

çekirdek aktif · 6 hat

  1. Servis ağı genelinde katı karşılıklı TLS uygulama ve izin verici moddan güvenle geçiş

    ✓ servis ağı genelinde katı

  2. Otomatik rotasyonlu kısa ömürlü iş yükü sertifikaları kurma

    ✓ otomatik rotasyonlu kısa

  3. Başarısız TLS el sıkışmalarını sertifika süresinden zincir güvenine adım adım ayıklama

    ✓ başarısız tls el sıkışma…

  4. Çapraz küme ve çoklu bulut iletişimini birleşik güvenle güvenceye alma

    ✓ çapraz küme ve çoklu bulut

  5. Şifreli dahili iletişim için uyumluluk gereksinimlerini karşılama

    ✓ şifreli dahili iletişim

  6. SPIFFE ve SPIRE ile platformdan bağımsız iş yükü kimlikleri atama

    ✓ spiffe ve spire ile plat…
Kazanımlar · elinde kalanlar

Aldıkların sende kalır.

Zamanı ileri sar. Ne kaldığını izle.

Sonsuza dek

Sahip olmak tam olarak bu.

Kiralık yığın

yapay zekâ yazım aracı: abonelik

süresi doldu · erişim gitti

analiz paketi: abonelik

süresi doldu · erişim gitti

tasarım platformu: abonelik

süresi doldu · erişim gitti

(geriye bir şey kalmadı)

Senin ocağın

  1. Her dahili bağlantıyı doğrulayarak yatay hareket saldırılarını durdurma

    lisans: kalıcı

  2. Otomatik rotasyonla süresi dolan sertifikalardan kaynaklı sessiz kesintileri önleme

    lisans: kalıcı

  3. Katmanlı sertifika otoritesi hiyerarşisiyle bir ihlalin etki alanını sınırlama

    lisans: kalıcı

  4. Güvenli başarısızlık ve varsayılan reddetme duruşuyla el sıkışma hatalarını sıfıra indirme

    lisans: kalıcı

abonelikler biter · tapular bitmez

Ne içerir · eksiksiz manifest

Kutudaki her şey.

Bir parçayı eline al. Çalışırken izle.

Katı ve karşılıklı modlar için Istio PeerAuthentication ve DestinationRule şablonları

parça 01 / 06 · kutuda

6 parça · tek çalışan sistem · e-postayla anında teslim

Kimler için

Bu herkes için dövülmedi.

  • Araç kiralamayı sahip olmaya tercih ediyorsan, sana göre değil.
  • Yığınını senin yerine başkası yönetsin istiyorsan, sana göre değil.
  • Tahmin etmekten memnunsan, sana göre değil.
Hâlâ burada mısın? Güzel.

Kubernetes servis ağlarında sıfır güven ağ kurma ve sertifika yönetimi uygulayan platform ve güvenlik mühendisleri.

o zaman bu senin için dövüldü.

Hangi AI ile çalışır

Tasarımı gereği evrensel: her yapay zekada çalışır. Açık Agent Skills + MCP biçiminde gelir (Claude’da yerleşik); ChatGPT, Gemini, Cursor ve Copilot aynı dosyaları kendine uyarlar.

  • Claude Yerleşik biçim
  • ChatGPT Açık standartla uyarlanır
  • Gemini Açık standartla uyarlanır
  • Cursor Açık standartla uyarlanır
  • Copilot Açık standartla uyarlanır
Sorular · hâlâ havada

Aklındakini yakala.

hava temizlendi. seninle ocak arasında hiçbir şey kalmadı.
bir kıvılcım yakala: ocak cevaplar

  1. Istio değil Linkerd kullanıyoruz, kapsam dahilinde miyiz?

    İki servis ağı da kapsanıyor: Istio için katı ve karşılıklı modlarda PeerAuthentication ve DestinationRule şablonları, Linkerd için otomatik mTLS doğrulaması ve dış servis yönetimi var. cert-manager ve SPIFFE/SPIRE kurulumları ağdan bağımsız geçerli.

  2. Süresi dolan sertifikaların servisleri sessizce düşürmesini nasıl engelliyoruz?

    cert-manager yapılandırmalarında sertifikalar kısa ömürlü ve önceden yenileme pencereli kesiliyor, böylece rotasyon süre dolmadan epey önce kendiliğinden gerçekleşiyor. Rotasyon komutları ve yapılması gerekenler listesi operasyon tarafını, el sıkışma ayıklama sırası ise yine de kaçan durumları yakalıyor.

  3. Tarayıcıların açık sitemize bağlandığı kullanıcı tarafı TLS'i de yönetiyor mu?

    Hayır. Kapsam, küme içinde ve kümeler arasında sıfır güven servisten servise trafik. Açık uç TLS, CDN sertifikaları ve tarayıcıya bakan sonlandırma farklı araçlar gerektiren ayrı bir problem.

  4. Nasıl teslim edilir?

    Satın alımdan hemen sonra e-posta ile iletilir, kuruluma hazır, anında indirilir; bekleme yok.

  5. Tek seferlik mi, abonelik mi?

    Tek seferlik alımdır; abonelik veya gizli ücret yoktur. Fiyata KDV (%20) dahildir.

  6. İade alabilir miyim?

    Dijital ürün olduğu için indirildikten sonra iade yapılmaz. Bu yüzden ne içerdiğini ve kime uygun olduğunu burada açıkça paylaşıyoruz.

İlgili ürünler

Tüm beceriler →
DevOps & Altyapı Skill

Bash Defensive Patterns

Sessizce başarısız olmak yerine güvenli şekilde duran, üretim seviyesinde betikler yazmak için savunmacı bir Bash programlama el kitabı.

₺369
İncele →
DevOps & Altyapı Skill

Bazel Build Optimization

Yavaş ve kararsız bir monorepoyu hızlı, tekrarlanabilir bir derleme makinesine dönüştürün.

₺369
İncele →
DevOps & Altyapı Skill

Changelog Automation

Changelog Automation, commit geçmişinizden değişiklik günlüklerini, sürüm notlarını ve versiyon artışlarını otomatik üreten, Keep a Changelog formatına ve Anlamsal Sürümlemeye uyan uçtan uca bir yayın akışı kurar.

₺369
İncele →
DevOps & Altyapı Skill

Cost Optimization

AWS, Azure ve GCP genelinde performanstan veya güvenilirlikten ödün vermeden bulut harcamasını kısmaya yönelik sistematik bir çerçeve.

₺369
İncele →