helm3部暑cert-manager

已于 2022-05-17 11:09:15 修改
阅读量481 收藏
点赞数
分类专栏: 容器化 文章标签: cert-manager
于 2021-09-09 16:49:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010533742/article/details/120201547
版权

一、添加cert-manager 仓库

#添加 kubernetes-dashboard helm chart
helm repo add jetstack https://charts.jetstack.io

# 更新下仓库
helm repo update 

#查询repo
helm repo list

二、部暑cert-manager

#指定变量
pro=cert-manager
chart_version=v1.7.2

mkdir -p /data/$pro
cd /data/$pro

#下载traefik2
helm pull jetstack/$pro --version=$chart_version

#提取values.yaml文件
tar zxvf $pro-$chart_version.tgz --strip-components 1 $pro/values.yaml 

cat > /data/$pro/start.sh << EOF

helm upgrade --wait --create-namespace --install $pro $pro-$chart_version.tgz \
-f values.yaml \
-n cert-manager \
--create-namespace \
--set installCRDs=true
EOF

kubectl label namespace cert-manager certmanager.k8s.io/disable-validation=true

bash /data/$pro/start.sh

四、配置values.yaml
选择部分配置

replicaCount: 1

五、使用自签证书

#参考:https://cert-manager.io/docs/configuration/selfsigned/
#创建ca-issuer
cat > /data/cert-manager/ca-sign.yaml << 'EOF'
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ca-issuer
  namespace: cert-manager
spec:
  selfSigned: {}
EOF

kubectl apply -f /data/cert-manager/ca-sign.yaml

#创建Certificate资源
cat >/data/cert-manager/Certificate.yaml<< EOF
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: kids-cn
  namespace: kube-system
spec:
  secretName: kids-cn-tls
  duration: 2160h # 90d
  renewBefore: 360h # 15d
  privateKey:
    algorithm: ECDSA
    size: 256
#    algorithm: RSA
#    encoding: PKCS1
#    size: 2048
  issuerRef:
    name: ca-issuer
    kind: ClusterIssuer
    group: cert-manager.io
  commonName: kids.cn
  dnsNames:
  - kids.cn
  - www.kids.cn
  - traefik.kids.cn
  ipAddresses:
    - 127.0.0.1
EOF

kubectl apply -f /data/cert-manager/Certificate.yaml
  • 验证
#查询到cert-manager生成的证书secret:
kubectl -n kube-system describe secret kids-cn-tls

Name:         kids-cn-tls
Namespace:    kube-system
Labels:       <none>
Annotations:  cert-manager.io/alt-names: kids.cn,www.kids.cn
              cert-manager.io/certificate-name: kids-cn
              cert-manager.io/common-name: kids.cn
              cert-manager.io/ip-sans:
              cert-manager.io/issuer-group:
              cert-manager.io/issuer-kind: ClusterIssuer
              cert-manager.io/issuer-name: ca-issuer
              cert-manager.io/uri-sans:

Type:  kubernetes.io/tls

Data
====
ca.crt:   1078 bytes
tls.crt:  1078 bytes
tls.key:  1675 bytes


apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: cnblogs-ingress
spec:
  ingressClassName: nginx
  rules:
  - host: www.kids.cn
    http:
      paths:
        - path: /
          pathType: Prefix
          backend:
            service:
              name: dashboard-metrics-scraper
              port:
                number: 8000
  tls:
  - hosts:
    - www.kids.cn
    secretName: kids-cn-tls

ingress自动获取cert-manager的ca-issuer
参考:https://cert-manager.io/docs/usage/ingress/

cat > kibana-ingress.yaml << 'EOF'
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    # 指定 cert-manager 的 ClusterIssuer 的名称
    cert-manager.io/cluster-issuer: ca-issuer
    # 强制的从 HTTP 重定向刀 HTTPS
    ingress.kubernetes.io/ssl-redirect: "true"
    # 可选
    #kubernetes.io/tls-acme: "true"
  name: kibana-ingress
  namespace: elasticsearch
spec:
  ingressClassName: nginx
  rules:
  - host: kibana.kids.cn
    http:
      paths:
        - path: /
          pathType: Prefix
          backend:
            service:
              name: kibana
              port:
                number: 5601
  tls:
  - hosts:
    - kibana.kids.cn
    secretName: kibana-kids-cn-tls
EOF

在这里插入图片描述

例子:创建100年有效期CA证书

1)、创建ca-config.json

cat > ca-config.json << 'EOF'
{
    "signing":{
        "default":{
            "expiry":"876000h"
        },
        "profiles":{
            "etcd":{
                "expiry":"438000h",
                "usages":[
                    "server auth",
                    "client auth",
                    "key encipherment"
                ]
            },
            "master":{
                "expiry":"438000h",
                "usages":[
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            },
            "node":{
                "expiry":"438000h",
                "usages":[
                    "server auth",
                    "key encipherment",
                    "client auth"
                ]
            }
        }
    }
}
EOF

2)、创建ca-csr.json

cat > ca-csr.json  << 'EOF'
{
    "CN":"kubernetes",
    "key":{
        "algo":"rsa",
        "size":4096
    },
    "names":[
        {
            "C":"CN",
            "ST":"GuangDong",
            "L":"GuangZhou",
            "O":"Digitalgd",
            "OU":"CADP"
        }
    ],
    "ca":{
        "expiry":"876000h"
    }
}
EOF

3)、生成CA证书

#使用cfssl生成CA证书
cfssl gencert  -config=./ca-config.json  -initca  ca-csr.json   | cfssljson -bare ca

#在kubernetes的空间cert-manager中创建secret : ca-key-pair
kubectl -n cert-manager create secret tls ca-key-pair --cert=ca.pem --key=ca-key.pem

4)、使用cert-manager创建ClusterIssuer

cat > /data/cert-manager/ca-sign.yaml << 'EOF'
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ca-issuer
  namespace: cert-manager
spec:
  ca:
    secretName: ca-key-pair     #使用上边创建 secret
EOF

kubectl apply -f ca-sign.yaml

5)、使用cert-manager创建Certificate

cat > Certificate.yaml << 'EOF'
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: kids-cn
  namespace: kube-system
spec:
  secretName: kids-cn-tls     #创建证书的secret
  duration: 17520h            #证书有效期2年
  renewBefore: 360h           #在失效前15天自动更新
  privateKey:
    algorithm: ECDSA
    size: 384
#    algorithm: RSA
#    encoding: PKCS1
#    size: 2048
  issuerRef:
    name: ca-issuer
    kind: ClusterIssuer
    group: cert-manager.io
  commonName: kids.cn     #CN
  dnsNames:               #以下是SAN
  - kids.cn
  - www.kids.cn
  - traefik.kids.cn
  ipAddresses:
    - 127.0.0.1
EOF

kubectl apply -f Certificate.yaml

6、查看证书

kubectl get secrets -n kube-system kids-cn-tls -o json | jq '.data."tls.crt"' | xargs echo | base64 --decode

在这里插入图片描述

蓝~天~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s学习(RKE+k8s+rancher2.x)成长系列之简配版环境搭建(四)之Helmcert-manager安装
nhm_lxy的专栏
02-20 434
【代码】k8s学习(RKE+k8s+rancher2.x)成长系列之简配版环境搭建(四)之Helmcert-manager安装。
cert-manager使用
Blue summer的博客
07-31 2499
在使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
helm 部署 cert-manager 实践
爱死亡机器人
07-19 666
cert-manager 是一个 Kubernetes 上的证书管理控制器,它可以自动化证书签发和更新的过程。它使用了 Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及与之相关的资源,如私钥和证书链。Cert-manager 支持多种证书颁发机构(CA),包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。
helm安装cert-manager自动化Https(1.8)
wnfff的博客
12-12 5253
Helm安装cert-manager自动化 HTTPS一. 部署1.1 下载1.2 创建crd1.3 创建签发机构1.4 自定义value配置文件1.5 安装二. 测试 注意:要有自己的域名 一. 部署 1.1 下载 [root@master helm]# helm search stable/cert-manager NAME CHART VERSION APP...
Kubernetes 15 (helm应用包管理工具---部署redis、nfs、metrics-server、构建Helm Chart)
qq_38664479的博客
10-09 653
目录一、 Helm安装部署1.helm部署redis二、构建一个 Helm Chart三、 Helm部署nfs四、Helm部署metrics-server 一、 Helm安装部署 1、Helm是Kubernetes 应用的包管理工具,主要用来管理 Charts,类似Linux系统的yum。Helm Chart 是用来封装 Kubernetes 原生应用程序的一系列 YAML 文件。可以在你部署应用的时候自定义应用程序的一些 Metadata,以便于应用程序的分发。 2、对于应用发布者而言,可以通过 Helm
helm-aws-cert-manager
03-21
掌舵人经理
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
cert-manager-app:在工作负载群集中运行的证书管理器服务的Helm图表
04-12
cert-manager-app 在巨型群集群中运行的应用程序的Helm图表。安装图表要在本地安装图表: $ git clone https://github.com/giantswarm/cert-manager-app.git$ cd cert-manager-app$ helm install helm/cert-manager-...
terraform-aws-eks-cert-manager
04-14
AWS EKS Cert Manager Terraform模块 我们通过采用正确的技术和原则来帮助公司构建,运行,部署和扩展软件和基础架构。 请访问我们的网站描述用于在Amazon EKS集群上部署证书管理器的terraform模块。相关项目查看...
helm-charts:Bluescape Helm图表
03-18
cert-manager-cluster-issuer模板 外部秘密模板 bluescape-monitoring-crds 用于部署监视CRD以启用服务监视器。 bluescape监控仪表板 为Bluescape Application Stack创建的自定义仪表板。 监视基础结构组件。 ...
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2126
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1040
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
Helm应用详解--K8S
qq_39458487的博客
05-20 3449
构建一个 Chart 1. Chart 文件结构 chart 是一个组织在文件目录中的集合。目录名称就是chart名称。因而描述WordPress的chart可以存储在wordpress/目录中。 在这个目录中,Helm 期望可以匹配以下结构: wordpress/ Chart.yaml # 包含了chart信息的YAML文件 LICENSE # 可选: 包含chart许可证的纯文本文件 README.md # 可选: 可读的RE...
k8s-3:cert-manager安装使用
Datura_qing的博客
02-17 2461
一、安装 这里使用helm安装的1.6.1版本 先决条件 安装 Helm 版本 3 或更高版本。 安装受支持的 Kubernetes 或 OpenShift 版本。 如果您在云平台上使用 Kubernetes,请阅读与 Kubernetes 平台提供商的兼容性 1. 添加 Jetstack Helm 存储库: $ helm repo add jetstack https://charts.jetstack.io 2. 更新您本地的 Helm 图表存储库缓存
k8s1.18.20:cert-manager 1.8 安装部署
最新发布
那个那个
07-19 872
cert-manager 在 Kubernetes 集群中增加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型,并简化了获取、更新和应用这些证书的过程。它能够从各种反对的起源签发证书,包含 Let’s Encrypt、HashiCorp Vault 和 Venafi 以及私人 PKI。
helm安装rancher(2.6.4)
wnfff的博客
04-24 6941
文章目录1. 安装cert-manager2. 添加rancher repo3. 安装 当前k8s集群是1.23.5 1. 安装cert-manager 参考 https://blog.csdn.net/qq_38983728/article/details/103462543 2. 添加rancher repo helm repo add rancher-stable http://rancher-mirror.oss-cn-beijing.aliyuncs.com/server-charts/sta
kubernetes中cert-manager使用http-01方式生成https证书
null
04-09 2402
说明 文章里用不用集群签发,但是同理 提前创建需要https的namespace 采用http-01方式生成https证书,所以域名可以填写子域名,但是不能填写泛域名 提前把要解析的域名映射解析到集群所在服务器上 如果有安全组需要开放80端口,CA机构只能通过80端口验证token(域名是否属于你) 可以用项目网关,不用集群网关这样有一个项目专门生成证书,然后复制到其他项目使用(本文用集群网关测试) 运行过程中自动产生的ingress和pod,会在证书生成后自动关闭消失。 安装cert-manager
深入玩转K8S之使用kubeadm安装Kubernetes v1.10以及常见问题解答
weixin_34218579的博客
04-10 509
关于K8S:Kubernetes是Google开源的容器集群管理系统。它构建于docker技术之上,为容器化的应用提供资源调度、部署运行、服务发现、扩 容缩容等整一套功能,本质上可看作是基于容器技术的mini-PaaS平台。相信看过我博客的童鞋应该知道,我在14年的时候就发表了一篇名为Docker容器管理之Kubernetes当时国内Docker刚刚兴起,对于Docker的兴起我很有感触,仿佛一瞬...
手把手教你使用 cert-manager 签发免费证书
热门推荐
吉小白的博客
10-27 1万+
概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let's Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。 cert-manager 工作原理 cert-manager 部署到 K
helm 安装logstash-input-kubernetes
05-09
可以使用 Helm 命令来安装 logstash-input-kubernetes,步骤如下: 1. 添加 Elastic 官方的 Helm 仓库: ``` helm repo add elastic https://helm.elastic.co ``` 2. 创建一个 Helm chart: ``` helm create my-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值