Knative Eventing のトランスポート暗号化

フラグ名: transport-encryption

ステージ: ベータ版、デフォルトでは無効

追跡 issue: #5957

概要

デフォルトでは、クラスター内でのイベント配信は暗号化されていません。これにより、送信できるイベントの種類が、コンプライアンス値が低い（またはコンプライアンスの姿勢が緩い）ものに限定されたり、管理者がトラフィックを暗号化するためにサービスメッシュや暗号化された CNI を使用せざるを得なくなったりします。これは、Knative Eventing の採用者にとって多くの課題をもたらします。

Knative Broker と Channel は、イベントを受信する HTTPS エンドポイントを提供します。これらのエンドポイントは通常、パブリック DNS 名（例：svc.cluster.local など）を持たないため、非公開 CA（クラスターまたは組織固有の CA）で署名する必要があります。

イベントプロデューサーは、クラスター内部の CA 証明書を使用して HTTPS エンドポイントに接続できる必要があります。

前提条件

• トランスポート暗号化機能を有効にするには、cert-manager オペレーターのインストール手順に従って cert-manager オペレーターをインストールする必要があります。
• Eventing のインストール

インストール

SelfSigned ClusterIssuer の設定

注意

ClusterIssuer は、証明書署名リクエストを処理することにより、署名付き証明書を生成できる認証局（CA）を表す Kubernetes リソースです。すべての cert-manager 証明書には、リクエストを処理するために準備完了状態になっている参照 issuer が必要です。参照：cert-manager.io/docs/concepts/issuer/

重要

このガイドを簡単にするために、ルート証明書として SelfSigned issuer を使用しますが、この方法の cert-manager.io/docs/configuration/selfsigned/ に記載されている影響と制限事項に注意してください。会社固有の Private Key Infrastructure (PKI) を運用している場合は、CA issuer をお勧めします。詳細については、cert-manager のドキュメント（cert-manager.io/docs/configuration/ca/）を参照してください。ただし、クラスターローカルサービスで使用できる他の issuer も使用できます。

1. SelfSigned ClusterIssuer を作成します。

   apiVersion: cert-manager.io/v1
   kind: ClusterIssuer
   metadata:
     name: knative-eventing-selfsigned-issuer
   spec:
     selfSigned: {}
   

2. ClusterIssuer リソースを適用します。

   $ kubectl apply -f <filename>
   

3. 前に作成した SelfSigned ClusterIssuer を使用してルート証明書を作成します。

   apiVersion: cert-manager.io/v1
   kind: Certificate
   metadata:
     name: knative-eventing-selfsigned-ca
     namespace: cert-manager # the cert-manager operator namespace
   spec:
      # Secret name later used for the ClusterIssuer for Eventing
     secretName: knative-eventing-ca
   
     isCA: true
     commonName: selfsigned-ca
     privateKey:
       algorithm: ECDSA
       size: 256
   
     issuerRef:
       name: knative-eventing-selfsigned-issuer
       kind: ClusterIssuer
       group: cert-manager.io
   

4. Certificate リソースを適用します。

   $ kubectl apply -f <filename>
   

Eventing 用の ClusterIssuer の設定

1. Eventing 用の knative-eventing-ca-issuer ClusterIssuer を作成します。

   # This is the issuer that every Eventing component use to issue their server's certs.
   apiVersion: cert-manager.io/v1
   kind: ClusterIssuer
   metadata:
     name: knative-eventing-ca-issuer
   spec:
     ca:
       # Secret name in the Cert-Manager Operator namespace (cert-manager by default) containing
       # the certificate that can then be used by Knative Eventing components for new certificates.
       secretName: knative-eventing-ca 
   

   !!! important ClusterIssuer の名前は knative-eventing-ca-issuer である必要があります。

2. ClusterIssuer リソースを適用します。

   $ kubectl apply -f <filename>
   

Eventing コンポーネントの証明書のインストール

Eventing コンポーネントは、cert-manager issuer と証明書を使用して TLS 証明書をプロビジョニングします。リリースアセットには、必要に応じてカスタマイズできる Eventing サーバー用の証明書が含まれています。

1. 証明書をインストールするには、次のコマンドを実行します。

   kubectl apply -f https://github.com/knative/eventing/releases/download/knative-v1.16.0/eventing-tls-networking.yaml
   

2. [オプション] Eventing Kafka コンポーネントを使用している場合は、次のコマンドを実行して Kafka コンポーネントの証明書をインストールします。

   kubectl apply -f https://github.com/knative-extensions/eventing-kafka-broker/releases/download/knative-v1.16.0/eventing-kafka-tls-networking.yaml
   

3. issuer と証明書が準備できていることを確認します。

   kubectl get certificates.cert-manager.io -n knative-eventing
   

   出力例

   NAME                           READY   SECRET                         AGE
   imc-dispatcher-server-tls      True    imc-dispatcher-server-tls      14s
   mt-broker-filter-server-tls    True    mt-broker-filter-server-tls    14s
   mt-broker-ingress-server-tls   True    mt-broker-ingress-server-tls   14s
   selfsigned-ca                  True    eventing-ca                    14s
   ...
   

トランスポート暗号化の設定

transport-encryption 機能フラグは、Addressable (Broker、Channel、Sink) がイベントを受け入れる方法を構成する enum 設定です。

transport-encryption の可能な値は次のとおりです。

• disabled (これは現在の動作と同等です)
  • Addressable は HTTPS エンドポイントへのイベントを受け入れる場合があります。
  • プロデューサーは HTTPS エンドポイントにイベントを送信する場合があります。
• permissive
  • Addressable は、HTTP および HTTPS エンドポイントの両方でイベントを受け入れる必要があります。
  • Addressable は、HTTP および HTTPS エンドポイントの両方をアドバタイズする必要があります。
  • プロデューサーは、HTTPS エンドポイントが利用可能な場合は、HTTPS エンドポイントへのイベントの送信を優先する必要があります。
• strict
  • Addressable は、非 HTTPS エンドポイントへのイベントを受け入れてはなりません。
  • Addressable は、HTTPS エンドポイントのみをアドバタイズする必要があります。

重要

strict は、Broker および Channel のレシーバー/ingress でのみ強制されます。Broker または Channel がイベントをサブスクライバーに送信するときに、そのサブスクライバーが HTTP アドレスのみを持っている場合、Broker または Channel は HTTPS の代わりに HTTP でイベントを送信できます。

たとえば、strict トランスポート暗号化を有効にするには、config-features ConfigMap は次のようになります。

apiVersion: v1
kind: ConfigMap
metadata:
  name: config-features
  namespace: knative-eventing
data:
  transport-encryption: "strict"

追加の CA トラストバンドルの設定

デフォルトでは、Eventing クライアントはシステムルート CA（パブリック CA）を信頼します。

Eventing 用に追加の CA バンドルを追加する必要がある場合は、networking.knative.dev/trust-bundle: true というラベルが付いた ConfigMap を knative-eventing ネームスペースに作成することで追加できます。

重要

CA バンドル ConfigMaps が更新されると、Eventing クライアントは、新しい接続が確立されたときに、それらを自動的に信頼された CA バンドルに追加します。

1. Eventing 用の CA バンドルを作成します。

   kind: ConfigMap
   metadata:
     name: my-org-eventing-bundle
     namespace: knative-eventing
     labels:
       networking.knative.dev/trust-bundle: "true"
   # All data keys containing valid PEM-encoded CA bundles will be trusted by Eventing clients.
   data:
     ca.crt: ...
     ca1.crt: ...
     tls.crt: ...
   

重要

既存のまたは将来の Eventing 提供の ConfigMap 名と競合しない可能性のある名前を使用します。

CA トラストバンドルを配布するには、trust-manager を利用できますが、必須ではありません。

特定のイベント送信者のための CA の信頼

イベントソース、トリガー、またはサブスクリプションはイベント送信者と見なされ、特定の CA 証明書を信頼するように構成できます。

重要

CA 証明書は PEM 形式の証明書である必要があります。複数行の YAML 文字列であるため、CACerts 値が正しくインデントされていることを確認してください。そうしないと、リソースを作成するときに拒否されます。

トリガーとサブスクリプションは次のように構成できます。

spec:
  # ...

  subscriber:
    uri: https://mycorp-internal-example.com/v1/api
    CACerts: |-
      -----BEGIN CERTIFICATE-----
      MIIFWjCCA0KgAwIBAgIQT9Irj/VkyDOeTzRYZiNwYDANBgkqhkiG9w0BAQsFADBH
      MQswCQYDVQQGEwJDTjERMA8GA1UECgwIVW5pVHJ1c3QxJTAjBgNVBAMMHFVDQSBF
      eHRlbmRlZCBWYWxpZGF0aW9uIFJvb3QwHhcNMTUwMzEzMDAwMDAwWhcNMzgxMjMx
      MDAwMDAwWjBHMQswCQYDVQQGEwJDTjERMA8GA1UECgwIVW5pVHJ1c3QxJTAjBgNV
      BAMMHFVDQSBFeHRlbmRlZCBWYWxpZGF0aW9uIFJvb3QwggIiMA0GCSqGSIb3DQEB
      AQUAA4ICDwAwggIKAoICAQCpCQcoEwKwmeBkqh5DFnpzsZGgdT6o+uM4AHrsiWog
      D4vFsJszA1qGxliG1cGFu0/GnEBNyr7uaZa4rYEwmnySBesFK5pI0Lh2PpbIILvS
      sPGP2KxFRv+qZ2C0d35qHzwaUnoEPQc8hQ2E0B92CvdqFN9y4zR8V05WAT558aop
      O2z6+I9tTcg1367r3CTueUWnhbYFiN6IXSV8l2RnCdm/WhUFhvMJHuxYMjMR83dk
      sHYf5BA1FxvyDrFspCqjc/wJHx4yGVMR59mzLC52LqGj3n5qiAno8geK+LLNEOfi
      c0CTuwjRP+H8C5SzJe98ptfRr5//lpr1kXuYC3fUfugH0mK1lTnj8/FtDw5lhIpj
      VMWAtuCeS31HJqcBCF3RiJ7XwzJE+oJKCmhUfzhTA8ykADNkUVkLo4KRel7sFsLz
      KuZi2irbWWIQJUoqgQtHB0MGcIfS+pMRKXpITeuUx3BNr2fVUbGAIAEBtHoIppB/
      TuDvB0GHr2qlXov7z1CymlSvw4m6WC31MJixNnI5fkkE/SmnTHnkBVfblLkWU41G
      sx2VYVdWf6/wFlthWG82UBEL2KwrlRYaDh8IzTY0ZRBiZtWAXxQgXy0MoHgKaNYs
      1+lvK9JKBZP8nm9rZ/+I8U6laUpSNwXqxhaN0sSZ0YIrO7o1dfdRUVjzyAfd5LQD
      fwIDAQABo0IwQDAdBgNVHQ4EFgQU2XQ65DA9DfcS3H5aBZ8eNJr34RQwDwYDVR0T
      AQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwDQYJKoZIhvcNAQELBQADggIBADaN
      l8xCFWQpN5smLNb7rhVpLGsaGvdftvkHTFnq88nIua7Mui563MD1sC3AO6+fcAUR
      ap8lTwEpcOPlDOHqWnzcSbvBHiqB9RZLcpHIojG5qtr8nR/zXUACE/xOHAbKsxSQ
      VBcZEhrxH9cMaVr2cXj0lH2RC47skFSOvG+hTKv8dGT9cZr4QQehzZHkPJrgmzI5
      c6sq1WnIeJEmMX3ixzDx/BR4dxIOE/TdFpS/S2d7cFOFyrC78zhNLJA5wA3CXWvp
      4uXViI3WLL+rG761KIcSF3Ru/H38j9CHJrAb+7lsq+KePRXBOy5nAliRn+/4Qh8s
      t2j1da3Ptfb/EX3C8CSlrdP6oDyp+l3cpaDvRKS+1ujl5BOWF3sGPjLtx7dCvHaj
      2GU4Kzg1USEODm8uNBNA4StnDG1KQTAYI1oyVZnJF+A83vbsea0rWBmirSwiGpWO
      vpaQXUJXxPkUAzUrHC1RVwinOt4/5Mi0A3PCwSaAuwtCH60NryZy2sy+s6ODWA2C
      xR9GUeOcGMyNm43sSet1UNWMKFnKdDTajAshqx7qG+XH/RU+wBeq+yNuJkbL+vmx
      cmtpzyKEC2IPrNkZAJSidjzULZrtBJ4tBmIQN1IchXIbJ+XMxjHsN+xjWZsLHXbM
      fjKaiJUINlK73nZfdklJrX+9ZSCyycErdhh2n1ax
      -----END CERTIFICATE-----

同様に、ソースは次のように構成できます。

spec:
  # ...

  sink:
    uri: https://mycorp-internal-example.com/v1/api
    CACerts: |-
      -----BEGIN CERTIFICATE-----
      MIIFWjCCA0KgAwIBAgIQT9Irj/VkyDOeTzRYZiNwYDANBgkqhkiG9w0BAQsFADBH
      MQswCQYDVQQGEwJDTjERMA8GA1UECgwIVW5pVHJ1c3QxJTAjBgNVBAMMHFVDQSBF
      eHRlbmRlZCBWYWxpZGF0aW9uIFJvb3QwHhcNMTUwMzEzMDAwMDAwWhcNMzgxMjMx
      MDAwMDAwWjBHMQswCQYDVQQGEwJDTjERMA8GA1UECgwIVW5pVHJ1c3QxJTAjBgNV
      BAMMHFVDQSBFeHRlbmRlZCBWYWxpZGF0aW9uIFJvb3QwggIiMA0GCSqGSIb3DQEB
      AQUAA4ICDwAwggIKAoICAQCpCQcoEwKwmeBkqh5DFnpzsZGgdT6o+uM4AHrsiWog
      D4vFsJszA1qGxliG1cGFu0/GnEBNyr7uaZa4rYEwmnySBesFK5pI0Lh2PpbIILvS
      sPGP2KxFRv+qZ2C0d35qHzwaUnoEPQc8hQ2E0B92CvdqFN9y4zR8V05WAT558aop
      O2z6+I9tTcg1367r3CTueUWnhbYFiN6IXSV8l2RnCdm/WhUFhvMJHuxYMjMR83dk
      sHYf5BA1FxvyDrFspCqjc/wJHx4yGVMR59mzLC52LqGj3n5qiAno8geK+LLNEOfi
      c0CTuwjRP+H8C5SzJe98ptfRr5//lpr1kXuYC3fUfugH0mK1lTnj8/FtDw5lhIpj
      VMWAtuCeS31HJqcBCF3RiJ7XwzJE+oJKCmhUfzhTA8ykADNkUVkLo4KRel7sFsLz
      KuZi2irbWWIQJUoqgQtHB0MGcIfS+pMRKXpITeuUx3BNr2fVUbGAIAEBtHoIppB/
      TuDvB0GHr2qlXov7z1CymlSvw4m6WC31MJixNnI5fkkE/SmnTHnkBVfblLkWU41G
      sx2VYVdWf6/wFlthWG82UBEL2KwrlRYaDh8IzTY0ZRBiZtWAXxQgXy0MoHgKaNYs
      1+lvK9JKBZP8nm9rZ/+I8U6laUpSNwXqxhaN0sSZ0YIrO7o1dfdRUVjzyAfd5LQD
      fwIDAQABo0IwQDAdBgNVHQ4EFgQU2XQ65DA9DfcS3H5aBZ8eNJr34RQwDwYDVR0T
      AQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwDQYJKoZIhvcNAQELBQADggIBADaN
      l8xCFWQpN5smLNb7rhVpLGsaGvdftvkHTFnq88nIua7Mui563MD1sC3AO6+fcAUR
      ap8lTwEpcOPlDOHqWnzcSbvBHiqB9RZLcpHIojG5qtr8nR/zXUACE/xOHAbKsxSQ
      VBcZEhrxH9cMaVr2cXj0lH2RC47skFSOvG+hTKv8dGT9cZr4QQehzZHkPJrgmzI5
      c6sq1WnIeJEmMX3ixzDx/BR4dxIOE/TdFpS/S2d7cFOFyrC78zhNLJA5wA3CXWvp
      4uXViI3WLL+rG761KIcSF3Ru/H38j9CHJrAb+7lsq+KePRXBOy5nAliRn+/4Qh8s
      t2j1da3Ptfb/EX3C8CSlrdP6oDyp+l3cpaDvRKS+1ujl5BOWF3sGPjLtx7dCvHaj
      2GU4Kzg1USEODm8uNBNA4StnDG1KQTAYI1oyVZnJF+A83vbsea0rWBmirSwiGpWO
      vpaQXUJXxPkUAzUrHC1RVwinOt4/5Mi0A3PCwSaAuwtCH60NryZy2sy+s6ODWA2C
      xR9GUeOcGMyNm43sSet1UNWMKFnKdDTajAshqx7qG+XH/RU+wBeq+yNuJkbL+vmx
      cmtpzyKEC2IPrNkZAJSidjzULZrtBJ4tBmIQN1IchXIbJ+XMxjHsN+xjWZsLHXbM
      fjKaiJUINlK73nZfdklJrX+9ZSCyycErdhh2n1ax
      -----END CERTIFICATE-----

Eventing CA を信頼するためのカスタムイベントソースの設定

カスタムイベントソースを作成する推奨方法は、SinkBinding を使用することです。SinkBinding は、構成された CA トラストバンドルを、/knative-custom-certs ディレクトリを使用して各コンテナに投影ボリュームとして挿入します。

注意

一部の組織では、会社固有の CA トラストバンドルを基本コンテナイメージに挿入し、ランタイム（openjdk、node など）を自動的に構成してその CA バンドルを信頼する場合があります。その場合は、クライアントを構成する必要がない場合があります。

データキーが ca.crt、ca1.crt、tls.crt である my-org-eventing-bundle ConfigMap の前の例を使用すると、次のレイアウトを持つ /knative-custom-certs ディレクトリが作成されます。

/knative-custom-certs/ca.crt
/knative-custom-certs/ca1.crt
/knative-custom-certs/tls.crt

これらのファイルを使用して、Eventing にイベントを送信する HTTP クライアントに CA トラストバンドルを追加できます。

注意

使用しているランタイム、プログラミング言語、またはライブラリに応じて、コマンドラインフラグ、環境変数を使用するか、これらのファイルの内容を読み取ることにより、カスタム CA 証明書ファイルを構成するさまざまな方法があります。詳細については、それぞれのドキュメントを参照してください。

CA トラストバンドルへの SelfSigned ClusterIssuer の追加

自己署名 ClusterIssuer の設定セクションで説明したように、自己署名 ClusterIssuer を使用している場合は、次のコマンドを実行して Eventing CA トラストバンドルに CA を追加できます。

1. デフォルトで OpenShift Cert-Manager Operator namespace の knative-eventing-ca シークレットから CA をエクスポートします。

   $ kubectl get secret -n cert-manager knative-eventing-ca -o=jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt
   

2. knative-eventing ネームスペースに CA トラストバンドルを作成します。

   $ kubectl create configmap -n knative-eventing my-org-selfsigned-ca-bundle --from-file=ca.crt
   

3. networking.knative.dev/trust-bundle: "true" ラベルで ConfigMap にラベル付けします。

   $ kubectl label configmap -n knative-eventing my-org-selfsigned-ca-bundle networking.knative.dev/trust-bundle=true
   

機能が動作していることの確認

次の YAML を default-broker-example.yaml というファイルに保存します。

# default-broker-example.yaml

apiVersion: eventing.knative.dev/v1
kind: Broker
metadata:
  name: br

---
apiVersion: eventing.knative.dev/v1
kind: Trigger
metadata:
  name: tr
spec:
  broker: br
  subscriber:
    ref:
      apiVersion: v1
      kind: Service
      name: event-display
---
apiVersion: v1
kind: Service
metadata:
  name: event-display
spec:
  selector:
    app: event-display
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8080
---
apiVersion: v1
kind: Pod
metadata:
  name: event-display
  labels:
    app: event-display
spec:
  containers:
    - name: event-display
      image: gcr.io/knative-releases/knative.dev/eventing/cmd/event_display
      imagePullPolicy: Always
      ports:
        - containerPort: 8080

default-broker-example.yaml ファイルをテストネームスペース transport-encryption-test に適用します。

kubectl create namespace transport-encryption-test

kubectl apply -n transport-encryption-test -f defautl-broker-example.yaml

アドレスがすべて HTTPS であることを確認します。

kubectl get brokers.eventing.knative.dev -n transport-encryption-test br -oyaml

出力例

apiVersion: eventing.knative.dev/v1
kind: Broker
metadata:
  # ...
  name: br
  namespace: transport-encryption-test
# ...
status:
  address:
    CACerts: |
      -----BEGIN CERTIFICATE-----
      MIIBbzCCARagAwIBAgIQAur7vdEcreEWSEQatCYlNjAKBggqhkjOPQQDAjAYMRYw
      FAYDVQQDEw1zZWxmc2lnbmVkLWNhMB4XDTIzMDgwMzA4MzA1N1oXDTIzMTEwMTA4
      MzA1N1owGDEWMBQGA1UEAxMNc2VsZnNpZ25lZC1jYTBZMBMGByqGSM49AgEGCCqG
      SM49AwEHA0IABBqkD9lAwrnXCo/OOdpKzJROSbzCeC73FE/Np+/j8n862Ox5xYwJ
      tAp/o3RDpDa3omhzqZoYumqdtneozGFY/zGjQjBAMA4GA1UdDwEB/wQEAwICpDAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBSHoKjXzfxfudt3mVGU3VudSi6TrTAK
      BggqhkjOPQQDAgNHADBEAiA5z0/TpD7T6vRpN9VQisQMtum/Zg3tThnYA5nFnAW7
      KAIgKR/EzW7f8BPcnlcgXt5kp3Fdqye1SAkjxZzr2a0Zik8=
      -----END CERTIFICATE-----
    name: https
    url: https://broker-ingress.knative-eventing.svc.cluster.local/transport-encryption-test/br
  addresses:
  - CACerts: |
      -----BEGIN CERTIFICATE-----
      MIIBbzCCARagAwIBAgIQAur7vdEcreEWSEQatCYlNjAKBggqhkjOPQQDAjAYMRYw
      FAYDVQQDEw1zZWxmc2lnbmVkLWNhMB4XDTIzMDgwMzA4MzA1N1oXDTIzMTEwMTA4
      MzA1N1owGDEWMBQGA1UEAxMNc2VsZnNpZ25lZC1jYTBZMBMGByqGSM49AgEGCCqG
      SM49AwEHA0IABBqkD9lAwrnXCo/OOdpKzJROSbzCeC73FE/Np+/j8n862Ox5xYwJ
      tAp/o3RDpDa3omhzqZoYumqdtneozGFY/zGjQjBAMA4GA1UdDwEB/wQEAwICpDAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBSHoKjXzfxfudt3mVGU3VudSi6TrTAK
      BggqhkjOPQQDAgNHADBEAiA5z0/TpD7T6vRpN9VQisQMtum/Zg3tThnYA5nFnAW7
      KAIgKR/EzW7f8BPcnlcgXt5kp3Fdqye1SAkjxZzr2a0Zik8=
      -----END CERTIFICATE-----
    name: https
    url: https://broker-ingress.knative-eventing.svc.cluster.local/transport-encryption-test/br
  annotations:
    knative.dev/channelAPIVersion: messaging.knative.dev/v1
    knative.dev/channelAddress: https://imc-dispatcher.knative-eventing.svc.cluster.local/transport-encryption-test/br-kne-trigger
    knative.dev/channelCACerts: |
      -----BEGIN CERTIFICATE-----
      MIIBbzCCARagAwIBAgIQAur7vdEcreEWSEQatCYlNjAKBggqhkjOPQQDAjAYMRYw
      FAYDVQQDEw1zZWxmc2lnbmVkLWNhMB4XDTIzMDgwMzA4MzA1N1oXDTIzMTEwMTA4
      MzA1N1owGDEWMBQGA1UEAxMNc2VsZnNpZ25lZC1jYTBZMBMGByqGSM49AgEGCCqG
      SM49AwEHA0IABBqkD9lAwrnXCo/OOdpKzJROSbzCeC73FE/Np+/j8n862Ox5xYwJ
      tAp/o3RDpDa3omhzqZoYumqdtneozGFY/zGjQjBAMA4GA1UdDwEB/wQEAwICpDAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBSHoKjXzfxfudt3mVGU3VudSi6TrTAK
      BggqhkjOPQQDAgNHADBEAiA5z0/TpD7T6vRpN9VQisQMtum/Zg3tThnYA5nFnAW7
      KAIgKR/EzW7f8BPcnlcgXt5kp3Fdqye1SAkjxZzr2a0Zik8=
      -----END CERTIFICATE-----
    knative.dev/channelKind: InMemoryChannel
    knative.dev/channelName: br-kne-trigger
  conditions:
  # ...

HTTPS エンドポイントを使用して Broker にイベントを送信します。

kubectl run curl -n transport-encryption-test --image=curlimages/curl -i --tty -- sh

Broker の .status.address.CACerts フィールドから CA 証明書を /tmp/cacerts.pem に保存します。

cat <<EOF >> /tmp/cacerts.pem
-----BEGIN CERTIFICATE-----
MIIBbzCCARagAwIBAgIQAur7vdEcreEWSEQatCYlNjAKBggqhkjOPQQDAjAYMRYw
FAYDVQQDEw1zZWxmc2lnbmVkLWNhMB4XDTIzMDgwMzA4MzA1N1oXDTIzMTEwMTA4
MzA1N1owGDEWMBQGA1UEAxMNc2VsZnNpZ25lZC1jYTBZMBMGByqGSM49AgEGCCqG
SM49AwEHA0IABBqkD9lAwrnXCo/OOdpKzJROSbzCeC73FE/Np+/j8n862Ox5xYwJ
tAp/o3RDpDa3omhzqZoYumqdtneozGFY/zGjQjBAMA4GA1UdDwEB/wQEAwICpDAP
BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBSHoKjXzfxfudt3mVGU3VudSi6TrTAK
BggqhkjOPQQDAgNHADBEAiA5z0/TpD7T6vRpN9VQisQMtum/Zg3tThnYA5nFnAW7
KAIgKR/EzW7f8BPcnlcgXt5kp3Fdqye1SAkjxZzr2a0Zik8=
-----END CERTIFICATE-----
EOF

次のコマンドを実行してイベントを送信します。

curl -v -X POST -H "content-type: application/json" -H "ce-specversion: 1.0" -H "ce-source: my/curl/command" -H "ce-type: my.demo.event" -H "ce-id: 6cf17c7b-30b1-45a6-80b0-4cf58c92b947" -d '{"name":"Knative Demo"}' --cacert /tmp/cacert
s.pem https://broker-ingress.knative-eventing.svc.cluster.local/transport-encryption-test/br

出力例

* processing: https://broker-ingress.knative-eventing.svc.cluster.local/transport-encryption-test/br
*   Trying 10.96.174.249:443...
* Connected to broker-ingress.knative-eventing.svc.cluster.local (10.96.174.249) port 443
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /tmp/cacerts.pem
*  CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256
* ALPN: server accepted h2
* Server certificate:
*  subject: O=local
*  start date: Aug  3 08:31:02 2023 GMT
*  expire date: Nov  1 08:31:02 2023 GMT
*  subjectAltName: host "broker-ingress.knative-eventing.svc.cluster.local" matched cert's "broker-ingress.knative-eventing.svc.cluster.local"
*  issuer: CN=selfsigned-ca
*  SSL certificate verify ok.
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* using HTTP/2
* h2 [:method: POST]
* h2 [:scheme: https]
* h2 [:authority: broker-ingress.knative-eventing.svc.cluster.local]
* h2 [:path: /transport-encryption-test/br]
* h2 [user-agent: curl/8.2.1]
* h2 [accept: */*]
* h2 [content-type: application/json]
* h2 [ce-specversion: 1.0]
* h2 [ce-source: my/curl/command]
* h2 [ce-type: my.demo.event]
* h2 [ce-id: 6cf17c7b-30b1-45a6-80b0-4cf58c92b947]
* h2 [content-length: 23]
* Using Stream ID: 1
> POST /transport-encryption-test/br HTTP/2
> Host: broker-ingress.knative-eventing.svc.cluster.local
> User-Agent: curl/8.2.1
> Accept: */*
> content-type: application/json
> ce-specversion: 1.0
> ce-source: my/curl/command
> ce-type: my.demo.event
> ce-id: 6cf17c7b-30b1-45a6-80b0-4cf58c92b947
> Content-Length: 23
> 
< HTTP/2 202 
< allow: POST, OPTIONS
< content-length: 0
< date: Thu, 03 Aug 2023 10:08:22 GMT
< 
* Connection #0 to host broker-ingress.knative-eventing.svc.cluster.local left intact