kubernetes - 使用网关 + VirtualService + http01 + SDS

Question

在 document有一个关于 的例子使用 Cert-Manager 保护 Kubernetes Ingress 不使用网关 + VirtualService。

我试图让它与 acme http01 一起工作，但证书无法颁发，因为在日志挑战中我有 404 错误。似乎它无法访问域检查挑战。我提到的规范是否有任何最佳实践？

[更新1]

我想用istio gateway与 SDS TLS 的选项并使用 cert-manager with http-01 保护它.

根据文档，我找到了一些示例，例如 Securing Kubernetes Ingress with Cert-Manager或 Deploy a Custom Ingress Gateway Using Cert-Manager .然而，这些示例使用的是 Kuberenetes Ingress 资源本身(不是 istio 网关)，或者像第二个示例使用的是 dns-01 .

我需要一个指令，其中包括 istio gateway与 SDS TLS 的选项并使用 cert-manager with http-01 保护它. Istio 网关让我能够使用 VirtualService .

谢谢!

Answer 1

我找到了答案，但不确定为什么会这样。我已关注 documentation有一些变化。

首先我编辑了istio-autogenerated-k8s-ingress使用 kubectl -n istio-system edit gateway命令。
我删除了整个 HTTPS部分和我离开 HTTP部分在那里。

然后我又创建了一个 Gateway就像是 :

cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - hosts:
    - 'example.com'
    port:
      name: http
      number: 80
      protocol: HTTP2
    tls:
      httpsRedirect: true
  - hosts:
    - 'example.com'
    port:
      name: https-default
      number: 443
      protocol: HTTPS
    tls:
      credentialName: ingress-cert-staging
      mode: SIMPLE
      privateKey: sds
      serverCertificate: sds
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
  - "example.com"
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080

EOF

有了这个证书管理器颁发了我的证书(我猜是 istio-autogenerated-k8s-ingress 网关!!不知道!!)，我可以像上面的例子一样创建多个网关和虚拟服务。所以一切正常!!这只是我的想法，盲目地做不是正确的方法。如果您有更好的答案，并且知道为什么会像我解释的那样发生这些事情，请告诉我。

谢谢!