本作品Galen Suen采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可。由原作者转载自个人站点

概述

本文用于整理基于Kubernetes环境的cert-manager部署与应用,实现证书管理和Ingress启用TLS配置。

随着各相关组件版本的更新,笔者将在验证通过后对本文进行补充和更新,请参考更新记录

本次演练环境为Kubernetes集群环境,环境配置可参考笔者另一篇笔记《Kubernetes集群部署笔记》。

本次演练使用Traefik作为Ingress Controller实现,环境配置可参考笔者另一篇笔记《Kubernetes环境Traefik部署与应用》。

本次演练使用Cloudflare提供的DNS解析服务,并假定读者已经注册了Cloudflare并正确配置了网站。有关Cloudflare的配置和使用,请参考Cloudflare帮助中心或相关文档。

组件版本

配置过程

安装cert-manager

  • 参考官方文档,使用kubectl安装cert-manager,所有参数使用默认值,这将会把cert-manager安装至cert-manager命名空间。

    kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.yaml

配置Issuer和ClusterIssuer

  • 配置API Token

    本次演练使用Cloudflare提供的DNS解析服务,实现通过DNS-01质询方式申请证书,可根据需要替换为其他支持的DNS-01验证程序,或通过Webhook方式扩展cert-manager对其他DNS解析服务的支持。

    首先,登录Cloudflare控制面板,打开API Tokens页面,按照cert-manager文档中的说明,创建一个API Token,记录该API Token的值用于后续操作。

    - Permissions
    
  - Zone - DNS - Edit
    
  - Zone - Zone - Read
    
- Zone Resources:
    
  - Include - All Zones

  • 创建IssuerClusterIssuer

    cert-manager提供两种用于签发证书的对象:IssuerClusterIssuer,简单地说,Issuer是命名空间级别的资源,无法用于处理跨命名空间的证书签发请求;ClusterIssuer是集群级别的资源,可以用于处理跨命名空间的证书签发请求。

    创建一个Issuer对象。

    cat <<EOF | kubectl apply -f -
    
apiVersion: v1
    
kind: Secret
    
metadata:
    
  name: cloudflare-api-token-secret
    
  namespace: apps-choral
    
type: Opaque
    
stringData:
    
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
    
apiVersion: cert-manager.io/v1
    
kind: Issuer
    
metadata:
    
  name: cloudflare-acme-issuer
    
  namespace: apps-choral
    
spec:
    
  acme:
    
    email: '<REDACTED>'
    
    # 配置证书目录,演练环境使用Staging环境
    
    # server: https://acme-v02.api.letsencrypt.org/directory
    
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    
    privateKeySecretRef:
    
      name: acme-issuer-account-key
    
    solvers:
    
    - dns01:
    
        cloudflare:
    
          apiTokenSecretRef:
    
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
    
            key: api-token
    
EOF

    创建一个ClusterIssuer对象。

    cat <<EOF | kubectl apply -f -
    
apiVersion: v1
    
kind: Secret
    
metadata:
    
  name: cloudflare-api-token-secret
    
  namespace: cert-manager # 这里配置为安装cert-manager资源的命名空间
    
type: Opaque
    
stringData:
    
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
    
apiVersion: cert-manager.io/v1
    
kind: ClusterIssuer
    
metadata:
    
  name: cloudflare-acme-cluster-issuer
    
spec:
    
  acme:
    
    email: '<REDACTED>'
    
    # 配置证书目录,演练环境使用Staging环境
    
    # server: https://acme-v02.api.letsencrypt.org/directory
    
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    
    privateKeySecretRef:
    
      name: acme-issuer-account-key
    
    solvers:
    
    - dns01:
    
        cloudflare:
    
          apiTokenSecretRef:
    
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
    
            key: api-token
    
EOF

配置Ingress TLS

可以通过手动创建或基于注解自动创建Certificate资源,cert-manager会自动管理签发证书并保存至指定的Secret对象中,并自动管理续期

  • 手动创建Certificate资源

    首选,创建一个Certificate对象,这会触发spec.issuerRef字段指定的IssuerClusterIssuer签发TLS证书,并保存至spec.secretName字段指定的Secret对象中。

    cat <<EOF | kubectl apply -f -
    
apiVersion: cert-manager.io/v1
    
kind: Certificate
    
metadata:
    
  name: cert-local-choral-io
    
  namespace: apps-choral
    
spec:
    
  dnsNames:
    
  - 'local.choral.io'
    
  - '*.local.choral.io'
    
  issuerRef:
    
    kind: ClusterIssuer
    
    name: cloudflare-acme-cluster-issuer
    
  secretName: cert-local-choral-io
    
EOF

    证书签发成功后,配置Ingress使用指定的Secret实现TLS。

    cat <<EOF | kubectl apply -f -
    
apiVersion: networking.k8s.io/v1
    
kind: Ingress
    
metadata:
    
  name: whoami
    
  namespace: apps-choral
    
  annotations:
    
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
    
spec:
    
  tls:
    
    - secretName: cert-local-choral-io
    
  rules:
    
    - host: whoami.local.choral.io
    
      http:
    
        paths:
    
          - path: /
    
            pathType: Prefix
    
            backend:
    
              service:
    
                name: whoami
    
                port:
    
                  number: 80
    
EOF

  • 配置Ingress注解自动创建Certificate资源

    配置Ingress注解,使用cert-manager.io/issuer指定Issuer,或使用cert-manager.io/issuer指定ClusterIssuer,这会触发指定的IssuerClusterIssuer签发TLS证书,并保存至spec.tls[*].secretName字段指定的Secret对象中。

    cat <<EOF | kubectl apply -f -
    
apiVersion: networking.k8s.io/v1
    
kind: Ingress
    
metadata:
    
  name: whoami
    
  namespace: apps-choral
    
  annotations:
    
    cert-manager.io/issuer: cloudflare-acme-issuer
    
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
    
spec:
    
  tls:
    
    - hosts:
    
        - whoami.local.choral.io
    
      secretName: cert-local-choral-io
    
  rules:
    
    - host: whoami.local.choral.io
    
      http:
    
        paths:
    
          - path: /
    
            pathType: Prefix
    
            backend:
    
              service:
    
                name: whoami
    
                port:
    
                  number: 80
    
EOF

参考资料

Kubernetes环境cert-manager部署与应用的更多相关文章

  1. Kubernetes环境Traefik部署与应用

    本作品由Galen Suen采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可.由原作者转载自个人站点. 概述 本文用于整理基于Kubernetes环境的Traefik部署与应用, ...

  2. GitLab Runner部署(kubernetes环境)

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  3. kubernetes环境部署单节点redis

    kubernetes部署redis数据库(单节点) redis简介 Redis 是我们常用的非关系型数据库,在项目开发.测试.部署到生成环境时,经常需要部署一套 Redis 来对数据进行缓存.这里介绍 ...

  4. Docker Kubernetes 环境搭建

    Docker Kubernetes 环境搭建 节点规划 版本 系统:Centos 7.4 x64 Docker版本:18.09.0 Kubernetes版本:v1.8 etcd存储版本:etcd-3. ...

  5. Kubernetes环境下如何运行Coherence缓存集群

    Oracle官方出了一个如何在Docker环境下运行Coherence的技术文档,大家可以参考: https://github.com/oracle/docker-images/tree/master ...

  6. Kubernetes V1.15 二进制部署集群

    1. 架构篇 1.1 kubernetes 架构说明              1.2 Flannel网络架构图 1.3 Kubernetes工作流程             2. 组件介绍 2.1 ...

  7. Kubernetes 企业级集群部署方式

    一.Kubernetes介绍与特性 1.1.kubernetes是什么 官方网站:http://www.kubernetes.io • Kubernetes是Google在2014年开源的一个容器集群 ...

  8. linux运维、架构之路-Kubernetes离线集群部署-无坑

    一.部署环境介绍 1.服务器规划 系统 IP地址 主机名 CPU 内存 CentOS  7.5 192.168.56.11 k8s-node1 2C 2G CentOS  7.5 192.168.56 ...

  9. linux运维、架构之路-Kubernetes离线、二进制部署集群

    一.Kubernetes对应Docker的版本支持列表 Kubernetes 1.9 <--Docker 1.11.2 to 1.13.1 and 17.03.x Kubernetes 1.8 ...

  10. 测试环境docker-swarm安装部署

    测试环境swarm安装部署 部署前增加监听docker2375端口 centos 增加tcp监听端口 修改/lib/systemd/system/docker.service sed -i ‘s/Ex ...

随机推荐

  1. NC 使用Nginx实现https的反向代理

    summary: [通过Nginx实现NCC的https访问,并解决UClient应用的问题] 1 概述 通过Nginx 安装配置反向代理,实现NC.NCC的https访问. 本文以NCC2005为例 ...

  2. 2022-11-16 Acwing每日一题

    本系列所有题目均为Acwing课的内容,发表博客既是为了学习总结,加深自己的印象,同时也是为了以后回过头来看时,不会感叹虚度光阴罢了,因此如果出现错误,欢迎大家能够指出错误,我会认真改正的.同时也希望 ...

  3. PLC攻击(一):应用层攻击

    ​ 转载请注明出处:信安科研人please subscribe my official wechat :信安科研人获取更多安全资讯 参考文献: A Stealth Program Injection  ...

  4. Seata 1.5.2 源码学习(事务执行)

    关于全局事务的执行,虽然之前的文章中也有所涉及,但不够细致,今天再深入的看一下事务的整个执行过程是怎样的. 1. TransactionManager io.seata.core.model.Tran ...

  5. SPFA和链式前向星

    链式前向星 一种存储图的数据结构 建立一个结构体和一个数组加一个变量,这里的to代表边\((u,v)\)中的\(v\)结点,而\(edge\)数组的索引\(idx\)代表\(u\),其中\(w\)代表 ...

  6. ArcObjects SDK开发 001 ArcObjects SDK 简介

    1.什么是ArcObjects SDK 在网上搜索什么是ArcObjects,会搜到如下的定义. 这个定义比较准确,也比较容易理解. 2.什么是ArcEngine 在网上搜索ArcEngine,一般会 ...

  7. 【Java SE进阶】Day05 异常,线程

    一.异常 1.概念 程序执行过程中,出现非正常情况导致JVM的非正常停止 本身是一个类,产生异常即创建并抛出一个异常对象 Java处理异常的方式是进行中断处理 异常非语法错误,语法错误直接不会产生cl ...

  8. Windows10下python3和python2同时安装(三)VS 2013配置python环境

    Windows10下python3和python2同时安装(三) VS 2013配置python环境 说明:本文基于python2和python3同时安装之后,对VS 2013进行配置,下面有些地方文 ...

  9. Doris安装部署

    下载安装 Doris运行在Linux环境中,推荐 CentOS 7.x 或者 Ubuntu 16.04 以上版本,同时你需要安装 Java 运行环境(JDK最低版本要求是8) 1.下载安装包 下载地址 ...

  10. Django框架:2、静态文件配置、form表单、request对象、pycharm链接数据库、django链接数据库、ORM框架

    Django框架 目录 Django框架 一.静态文件配置 1.静态文件 2.配置方法 二.form表单 1.action属性 2.method属性 三.request对象 1.基本用法 四.pych ...