个人中心
文章发布
退出
作者热门文章
- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
25
4
本作品 由 Galen Suen 采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 进行许可。由 原作者 转载自 个人站点 .
本文用于整理基于 Kubernetes 环境的 cert-manager 部署与应用,实现证书管理和 Ingress 启用TLS配置.
随着各相关组件版本的更新,笔者将在验证通过后对本文进行补充和更新,请参考 更新记录 .
本次演练环境为 Kubernetes 集群环境,环境配置可参考笔者另一篇笔记《 Kubernetes集群部署笔记 》.
本次演练使用 Traefik 作为 Ingress Controller 实现,环境配置可参考笔者另一篇笔记《 Kubernetes环境Traefik部署与应用 》.
本次演练使用 Cloudflare 提供的 DNS解析服务 ,并假定读者已经注册了 Cloudflare 并正确配置了网站。有关 Cloudflare 的配置和使用,请参考 Cloudflare帮助中心 或相关文档.
v1.11.0 参考官方文档,使用 kubectl 安装 cert-manager ,所有参数使用默认值,这将会把 cert-manager 安装至 cert-manager 命名空间.
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.yaml
配置API Token 。
本次演练使用 Cloudflare 提供的 DNS解析服务 ,实现通过 DNS-01 质询方式申请证书,可根据需要替换为其他 支持的DNS-01验证程序 ,或通过 Webhook 方式扩展 cert-manager 对其他DNS解析服务的支持.
首先,登录 Cloudflare控制面板 ,打开 API Tokens 页面,按照 cert-manager文档 中的说明,创建一个API Token,记录该API Token的值用于后续操作.
- Permissions
- Zone - DNS - Edit
- Zone - Zone - Read
- Zone Resources:
- Include - All Zones
创建 Issuer 和 ClusterIssuer 。
cert-manager 提供两种用于 签发证书 的对象: Issuer 和 ClusterIssuer ,简单地说, Issuer 是命名空间级别的资源,无法用于处理跨命名空间的证书签发请求; ClusterIssuer 是集群级别的资源,可以用于处理跨命名空间的证书签发请求.
创建一个 Issuer 对象.
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Secret
metadata:
name: cloudflare-api-token-secret
namespace: apps-choral
type: Opaque
stringData:
api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值
---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: cloudflare-acme-issuer
namespace: apps-choral
spec:
acme:
email: '<REDACTED>'
# 配置证书目录,演练环境使用Staging环境
# server: https://acme-v02.api.letsencrypt.org/directory
server: https://acme-staging-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: acme-issuer-account-key
solvers:
- dns01:
cloudflare:
apiTokenSecretRef:
name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
key: api-token
EOF
创建一个 ClusterIssuer 对象.
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Secret
metadata:
name: cloudflare-api-token-secret
namespace: cert-manager # 这里配置为安装cert-manager资源的命名空间
type: Opaque
stringData:
api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值
---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: cloudflare-acme-cluster-issuer
spec:
acme:
email: '<REDACTED>'
# 配置证书目录,演练环境使用Staging环境
# server: https://acme-v02.api.letsencrypt.org/directory
server: https://acme-staging-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: acme-issuer-account-key
solvers:
- dns01:
cloudflare:
apiTokenSecretRef:
name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
key: api-token
EOF
可以通过手动创建或基于注解自动创建 Certificate 资源, cert-manager 会自动管理签发证书并保存至指定的 Secret 对象中,并 自动管理续期 .
手动创建 Certificate 资源 。
首选,创建一个 Certificate 对象,这会触发 spec.issuerRef 字段指定的 Issuer 或 ClusterIssuer 签发TLS证书,并保存至 spec.secretName 字段指定的 Secret 对象中.
cat <<EOF | kubectl apply -f -
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: cert-local-choral-io
namespace: apps-choral
spec:
dnsNames:
- 'local.choral.io'
- '*.local.choral.io'
issuerRef:
kind: ClusterIssuer
name: cloudflare-acme-cluster-issuer
secretName: cert-local-choral-io
EOF
证书签发成功后,配置 Ingress 使用指定的 Secret 实现TLS.
cat <<EOF | kubectl apply -f -
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: whoami
namespace: apps-choral
annotations:
traefik.ingress.kubernetes.io/router.entrypoints: websecure
spec:
tls:
- secretName: cert-local-choral-io
rules:
- host: whoami.local.choral.io
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: whoami
port:
number: 80
EOF
配置 Ingress注解 自动创建 Certificate 资源 。
配置 Ingress注解 ,使用 cert-manager.io/issuer 指定 Issuer ,或使用 cert-manager.io/issuer 指定 ClusterIssuer ,这会触发指定的 Issuer 或 ClusterIssuer 签发TLS证书,并保存至 spec.tls[*].secretName 字段指定的 Secret 对象中.
cat <<EOF | kubectl apply -f -
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: whoami
namespace: apps-choral
annotations:
cert-manager.io/issuer: cloudflare-acme-issuer
traefik.ingress.kubernetes.io/router.entrypoints: websecure
spec:
tls:
- hosts:
- whoami.local.choral.io
secretName: cert-local-choral-io
rules:
- host: whoami.local.choral.io
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: whoami
port:
number: 80
EOF
https://cert-manager.io/docs/ 。
https://letsencrypt.org/docs/challenge-types/ 。
最后此篇关于Kubernetes环境cert-manager部署与应用的文章就讲到这里了,如果你想了解更多关于Kubernetes环境cert-manager部署与应用的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
25
4
0
I have created a hybrid activation and then setup an ssm agent on my on-premise windows system.我创
我对 python/django 编程很陌生,因为我没有编程背景。我正在在线上课,我只想确切地知道 manage.py 文件的作用。我试过用谷歌搜索它,但除了在 django-admin.py 周围放
我的 DependancyInject 存在结构问题。 情况 我正在为基于体素的游戏创建服务器;它是完全调制的,但相关模块有以下3个。 NetworkModule(发送和接收数据包)WorldModu
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 5年前关闭。 Improve thi
上 Docker正在编写的网站: The MANAGER STATUS column shows node participation in the Raft consensus: No value
我正在尝试使用发布管理作为构建版本的工具,但我很难理解码件、工具和操作之间的真正区别。有人可以分解这三个概念之间的差异以及它们如何相互配合吗? 最佳答案 由于它适用于基于代理的版本: 工具旨在提供自定
当尝试在远程环境中在 pycharm 中执行“run manage.py Task...”时,出现以下错误: ssh://vagrant@127.0.0.1:2222/home/vagrant/.vi
在过去的 48 小时里,我一直在努力解决这个问题,这让我发疯了。 我的 SDK Manager.exe 闪烁一个 cmd 屏幕并在不到一秒内关闭。 经过多方搜索,我终于在调整android.bat并以
我在 this tutorial 之后创建了以下自定义管理命令. from django.core.management.base import BaseCommand, CommandError f
我在一家拥有 2,500 多名员工和同样多的 Android 智能手机的非营利组织工作。 近年来,我们测试了许多 EMM 产品。尽管我们只需要一些非常基本的功能,除了一两个特殊功能,但没有一个能真正赢
我已经在我的网站上安装了 Google 标签管理器,但自从新版本的 Google 标签管理器以来,我无法使用预览选项。每次我点击它时,我都会看到我的网站页面打开,但随后出现以下错误:“Tag Assi
我是 django 的新手,并创建了一个与教程中描述的民意调查网站没有太大区别的应用程序。 在网站上我得到: Exception Type: TemplateSyntaxError Exception
https://cloud.google.com/deployment-manager/docs/configuration/templates/create-basic-template 我可以像这
我们正在使用 Microsoft 的发布管理将我们的 Web 应用程序部署到我们的测试环境 (QA)。它是一个直接的 MVC.Net Web 应用程序。我们的构建生成一个 web 部署包,我们有一个命
我想将 python manage.py 缩短为 ./manage.py。 这可能很简单,但我找不到答案。我在有关 django 的问题的答案之一中看到了一步一步的方法,但我没有记住。尝试在 stac
我想将 python manage.py 缩短为 ./manage.py。 这可能很简单,但我找不到答案。我在有关 django 的问题的答案之一中看到了一步一步的方法,但我没有记住。尝试在 stac
我正在使用安装了 SQL Server Data Tools 的 VS 2012。我有一个 ADO NET 源,它使用 .Net Providers\MySQL 数据提供程序,并试图将一些数据推送到
根据我从文档中阅读的内容 https://developer.android.com/topic/libraries/architecture/workmanager , 它说: The task i
这两个类显然是相关的。 SupportFragmentManager 是否用于使用 FragmentTransaction 生成的 Fragments,而“常规”FragmentManager 专门用
我有一个桌子经理(经理ID、姓名、地址、城市、电话)。如果多个经理来自同一城市,我必须显示城市、姓名和电话详细信息。我的代码是:。但这向我展示了第一行中的一个错误,即“不是按表达式分组”。请救救我!
我是一名优秀的程序员,十分优秀!