本作品Galen Suen采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可。由原作者转载自个人站点

概述

本文用于整理基于Kubernetes环境的cert-manager部署与应用,实现证书管理和Ingress启用TLS配置。

随着各相关组件版本的更新,笔者将在验证通过后对本文进行补充和更新,请参考更新记录

本次演练环境为Kubernetes集群环境,环境配置可参考笔者另一篇笔记《Kubernetes集群部署笔记》。

本次演练使用Traefik作为Ingress Controller实现,环境配置可参考笔者另一篇笔记《Kubernetes环境Traefik部署与应用》。

本次演练使用Cloudflare提供的DNS解析服务,并假定读者已经注册了Cloudflare并正确配置了网站。有关Cloudflare的配置和使用,请参考Cloudflare帮助中心或相关文档。

组件版本

配置过程

安装cert-manager

  • 参考官方文档,使用kubectl安装cert-manager,所有参数使用默认值,这将会把cert-manager安装至cert-manager命名空间。

    kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.yaml

配置Issuer和ClusterIssuer

  • 配置API Token

    本次演练使用Cloudflare提供的DNS解析服务,实现通过DNS-01质询方式申请证书,可根据需要替换为其他支持的DNS-01验证程序,或通过Webhook方式扩展cert-manager对其他DNS解析服务的支持。

    首先,登录Cloudflare控制面板,打开API Tokens页面,按照cert-manager文档中的说明,创建一个API Token,记录该API Token的值用于后续操作。

    - Permissions
    
  - Zone - DNS - Edit
    
  - Zone - Zone - Read
    
- Zone Resources:
    
  - Include - All Zones

  • 创建IssuerClusterIssuer

    cert-manager提供两种用于签发证书的对象:IssuerClusterIssuer,简单地说,Issuer是命名空间级别的资源,无法用于处理跨命名空间的证书签发请求;ClusterIssuer是集群级别的资源,可以用于处理跨命名空间的证书签发请求。

    创建一个Issuer对象。

    cat <<EOF | kubectl apply -f -
    
apiVersion: v1
    
kind: Secret
    
metadata:
    
  name: cloudflare-api-token-secret
    
  namespace: apps-choral
    
type: Opaque
    
stringData:
    
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
    
apiVersion: cert-manager.io/v1
    
kind: Issuer
    
metadata:
    
  name: cloudflare-acme-issuer
    
  namespace: apps-choral
    
spec:
    
  acme:
    
    email: '<REDACTED>'
    
    # 配置证书目录,演练环境使用Staging环境
    
    # server: https://acme-v02.api.letsencrypt.org/directory
    
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    
    privateKeySecretRef:
    
      name: acme-issuer-account-key
    
    solvers:
    
    - dns01:
    
        cloudflare:
    
          apiTokenSecretRef:
    
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
    
            key: api-token
    
EOF

    创建一个ClusterIssuer对象。

    cat <<EOF | kubectl apply -f -
    
apiVersion: v1
    
kind: Secret
    
metadata:
    
  name: cloudflare-api-token-secret
    
  namespace: cert-manager # 这里配置为安装cert-manager资源的命名空间
    
type: Opaque
    
stringData:
    
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
    
apiVersion: cert-manager.io/v1
    
kind: ClusterIssuer
    
metadata:
    
  name: cloudflare-acme-cluster-issuer
    
spec:
    
  acme:
    
    email: '<REDACTED>'
    
    # 配置证书目录,演练环境使用Staging环境
    
    # server: https://acme-v02.api.letsencrypt.org/directory
    
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    
    privateKeySecretRef:
    
      name: acme-issuer-account-key
    
    solvers:
    
    - dns01:
    
        cloudflare:
    
          apiTokenSecretRef:
    
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
    
            key: api-token
    
EOF

配置Ingress TLS

可以通过手动创建或基于注解自动创建Certificate资源,cert-manager会自动管理签发证书并保存至指定的Secret对象中,并自动管理续期

  • 手动创建Certificate资源

    首选,创建一个Certificate对象,这会触发spec.issuerRef字段指定的IssuerClusterIssuer签发TLS证书,并保存至spec.secretName字段指定的Secret对象中。

    cat <<EOF | kubectl apply -f -
    
apiVersion: cert-manager.io/v1
    
kind: Certificate
    
metadata:
    
  name: cert-local-choral-io
    
  namespace: apps-choral
    
spec:
    
  dnsNames:
    
  - 'local.choral.io'
    
  - '*.local.choral.io'
    
  issuerRef:
    
    kind: ClusterIssuer
    
    name: cloudflare-acme-cluster-issuer
    
  secretName: cert-local-choral-io
    
EOF

    证书签发成功后,配置Ingress使用指定的Secret实现TLS。

    cat <<EOF | kubectl apply -f -
    
apiVersion: networking.k8s.io/v1
    
kind: Ingress
    
metadata:
    
  name: whoami
    
  namespace: apps-choral
    
  annotations:
    
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
    
spec:
    
  tls:
    
    - secretName: cert-local-choral-io
    
  rules:
    
    - host: whoami.local.choral.io
    
      http:
    
        paths:
    
          - path: /
    
            pathType: Prefix
    
            backend:
    
              service:
    
                name: whoami
    
                port:
    
                  number: 80
    
EOF

  • 配置Ingress注解自动创建Certificate资源

    配置Ingress注解,使用cert-manager.io/issuer指定Issuer,或使用cert-manager.io/issuer指定ClusterIssuer,这会触发指定的IssuerClusterIssuer签发TLS证书,并保存至spec.tls[*].secretName字段指定的Secret对象中。

    cat <<EOF | kubectl apply -f -
    
apiVersion: networking.k8s.io/v1
    
kind: Ingress
    
metadata:
    
  name: whoami
    
  namespace: apps-choral
    
  annotations:
    
    cert-manager.io/issuer: cloudflare-acme-issuer
    
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
    
spec:
    
  tls:
    
    - hosts:
    
        - whoami.local.choral.io
    
      secretName: cert-local-choral-io
    
  rules:
    
    - host: whoami.local.choral.io
    
      http:
    
        paths:
    
          - path: /
    
            pathType: Prefix
    
            backend:
    
              service:
    
                name: whoami
    
                port:
    
                  number: 80
    
EOF

参考资料

Kubernetes环境cert-manager部署与应用的更多相关文章

  1. Kubernetes环境Traefik部署与应用

    本作品由Galen Suen采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可.由原作者转载自个人站点. 概述 本文用于整理基于Kubernetes环境的Traefik部署与应用, ...

  2. GitLab Runner部署(kubernetes环境)

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  3. kubernetes环境部署单节点redis

    kubernetes部署redis数据库(单节点) redis简介 Redis 是我们常用的非关系型数据库,在项目开发.测试.部署到生成环境时,经常需要部署一套 Redis 来对数据进行缓存.这里介绍 ...

  4. Docker Kubernetes 环境搭建

    Docker Kubernetes 环境搭建 节点规划 版本 系统:Centos 7.4 x64 Docker版本:18.09.0 Kubernetes版本:v1.8 etcd存储版本:etcd-3. ...

  5. Kubernetes环境下如何运行Coherence缓存集群

    Oracle官方出了一个如何在Docker环境下运行Coherence的技术文档,大家可以参考: https://github.com/oracle/docker-images/tree/master ...

  6. Kubernetes V1.15 二进制部署集群

    1. 架构篇 1.1 kubernetes 架构说明              1.2 Flannel网络架构图 1.3 Kubernetes工作流程             2. 组件介绍 2.1 ...

  7. Kubernetes 企业级集群部署方式

    一.Kubernetes介绍与特性 1.1.kubernetes是什么 官方网站:http://www.kubernetes.io • Kubernetes是Google在2014年开源的一个容器集群 ...

  8. linux运维、架构之路-Kubernetes离线集群部署-无坑

    一.部署环境介绍 1.服务器规划 系统 IP地址 主机名 CPU 内存 CentOS  7.5 192.168.56.11 k8s-node1 2C 2G CentOS  7.5 192.168.56 ...

  9. linux运维、架构之路-Kubernetes离线、二进制部署集群

    一.Kubernetes对应Docker的版本支持列表 Kubernetes 1.9 <--Docker 1.11.2 to 1.13.1 and 17.03.x Kubernetes 1.8 ...

  10. 测试环境docker-swarm安装部署

    测试环境swarm安装部署 部署前增加监听docker2375端口 centos 增加tcp监听端口 修改/lib/systemd/system/docker.service sed -i ‘s/Ex ...

随机推荐

  1. 2022春每日一题:Day 22

    题目:[HAOI2008]糖果传递 光看题几乎没有思路,但是显然到最后每个人手中一定有 d=s/n个糖果(s为所有人糖果总和),不妨设2号给1号x2个糖果,3号给2号x3个.....1号给n号x1个, ...

  2. SPPS完整版下载安装教程【博主亲测】

    SPSS全称Statistical Product and Service Solutions,是一款优秀的数据分析软件,旨在为用户提供专业的统计产品与服务解决方案.SPSS面向行业应用人员所设,被广 ...

  3. python基础(三)装饰器

    字典推导式: data_list = ['1 hello','2 world'] result = {item.split(" ")[0]: item.split(" & ...

  4. Rust构建环境搭建

    ###安装涉及的概念rustup : 安装rust和管理版本的工具,当前rust尚处于发展阶段,存在三种类型的版本,稳定版.测试版.每日构建版本,使用rustup可以在这三种的版本之间切换,默认是稳定 ...

  5. libc-bin : Depends: libc6 (< 2.20) but 2.27-3ubuntu1 is installed问题解决

    为了下载代码,在计算云上按照某个傻瓜文档操作后,ubuntu不仅没达到预定效果,反而无论如何操作,都出现 root@SZX1000450533:/var/lib/dpkg# apt-get autor ...

  6. 基于python的数学建模---图论模型(Dijkstra)

    from collections import defaultdict from heapq import * # 堆--先进后出 inf = 99999 # 不连通值 mtx_graph = [[0 ...

  7. 你认识的C# foreach语法糖,真的是全部吗?

    本文的知识点其实由golang知名的for循环陷阱发散而来, 对应到我的主力语言C#, 其实牵涉到闭包.foreach.为了便于理解,我重新组织了语言,以倒叙结构行文. 先给大家提炼出一个C#题:观察 ...

  8. 网络编程:软件开发架构、架构总结、网络编程前戏、OSI七层协议简介、OSI七层协议之物理连接层、数据链路层、网络相关专业名词、OSI七层协议之网络层

    目录 软件开发架构 架构总结 网络编程前戏 OSI七层协议简介 OSI七层协议之物理连接层 OSI七层协议之数据链路层 网络相关专业名词 OSI七层协议之网络层 OSI七层协议之传输层 软件开发架构 ...

  9. 关于vlc"编解码器暂不支持: VLC 无法解码格式“MIDI” (MIDI Audio)"解决

    解决办法 sudo apt install vlc-plugin-fluidsynth

  10. MySQL进阶实战1,数据类型与三范式

    一.选择优化的数据类型 MySQL支持的数据类型非常多,选择正确的数据类型对于获得高性能至关重要. 1.更小的 一般情况下,应该尽量使用较小的数据类型,更小的数据类型通常更快,因为占用更少的磁盘.内存 ...