Kubernetes之scert-manager证书控制器(证书自动颁发)

最新推荐文章于 2024-04-09 21:25:30 发布
最新推荐文章于 2024-04-09 21:25:30 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43357497/article/details/111188191
版权

cert-manager证书控制器

cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。

它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。

部署证书管理器后,您必须配置IssuerClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南

注意:从cert-managerv0.14.0开始,Kubernetes的最低支持版本是v1.11.0。仍在运行Kubernetesv1.10或更低版本的用户应在安装cert-manager之前升级到受支持的版本。

警告:您不应在单个群集上安装cert-manager的多个实例。这将导致不确定的行为,您可能会被诸如“让我们加密”之类的提供商禁止。

安装证书控制器

所有资源(CustomResourceDefinitions,cert-manager,名称空间和webhook组件)都包含在单个YAML清单文件中:

注意:如果您使用的是kubectl以下版本v1.19.0-rc.1,则更新CRD时会遇到问题。有关更多信息,请参见v0.16升级说明

安装CustomResourceDefinitions和cert-manager本身:

# Kubernetes 1.16+

kubectl create namespace cert-manager
kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.3/cert-manager.yaml

注意:如果您使用的是下面的Kubernetes版本v1.15,则需要安装清单的旧版本。此版本没有API版本转换,仅支持cert-manager.io/v1API资源。

注意:如果您正在运行Kubernetesv1.15.4或更低版本,则需要在上面--validate=falsekubectl apply命令中添加 标志,否则您将收到与x-kubernetes-preserve-unknown-fieldscert-managerCustomResourceDefinition资源中的字段 有关的验证错误 。这是一个良性错误,由于kubectl执行资源验证的方式而发生。

注意:在GKE(Google Kubernetes Engine)上运行时,在创建其中一些资源时可能会遇到“权限被拒绝”错误。这是GKE处理RBAC和IAM权限的方式的细微差别,因此运行上述命令之前,应将自己的特权“提升”为“ cluster-admin”的特权。如果您已经运行了上述命令,则应在提升权限后再次运行它们:

  kubectl create clusterrolebinding cluster-admin-binding \
    --clusterrole=cluster-admin \
    --user=$(gcloud config get-value core/account)

注意:默认情况下,cert-manager将安装到cert-manager 名称空间中。尽管您需要对部署清单进行修改,但是可以在其他名称空间中运行cert-manager。

验证

kubectl get pods --namespace cert-manager

NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-5c6866597-zw7kh               1/1     Running   0          2m
cert-manager-cainjector-577f6d9fd7-tr77l   1/1     Running   0          2m
cert-manager-webhook-787858fcdb-nlzsq      1/1     Running   0          2m

创建 CA 群集证书颁发者

证书管理器需要 IssuerClusterIssuer 资源,才能颁发证书。 这两种 Kubernetes 资源的功能完全相同,区别在于 Issuer 适用于单一命名空间,而 ClusterIssuer 适用于所有命名空间。 有关详细信息,请参阅证书管理器颁发者文档。

使用以下示例清单创建群集证书颁发者,例如 cluster-issuer.yaml。 将电子邮件地址更新为组织提供的有效地址:

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: MY_EMAIL_ADDRESS
    privateKeySecretRef:
      name: letsencrypt
    solvers:
    - http01:
        ingress:
          class: nginx
          podTemplate:
            spec:
              nodeSelector:
                "kubernetes.io/os": linux

若要创建证书颁发者,请使用 kubectl apply 命令。

kubectl apply -f cluster-issuer.yaml

部署Ingress入口路由

---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  annotations:
  #指定ca证书颁发者
    cert-manager.io/cluster-issuer: letsencrypt
    k8s.kuboard.cn/workload: web-phpipam
  labels:
    k8s.kuboard.cn/layer: web
    k8s.kuboard.cn/name: web-phpipam
  name: web-phpipam
  namespace: ingress-basic
spec:
  rules:
    - host: phpipam.www.trusit.net
      http:
        paths:
          - backend:
              serviceName: web-phpipam
              servicePort: 80
            path: /
# 配置证书名称            
  tls:
    - hosts:
        - phpipam.www.trusit.net
      secretName: tls-secret

使用 kubectl apply 命令创建入口资源。

kubectl apply -f hello-world-ingress.yaml --namespace ingress-basic

验证是否已创建证书对象

接下来,必须创建证书资源。 证书资源定义了必需的 X.509 证书。 有关详细信息,请参阅证书管理器证书。 证书管理器已使用 ingress-shim(自 v0.2.2 以来随证书管理器自动部署)为你自动创建了证书对象。 有关详细信息,请参阅 ingress-shim 文档

若要验证证书是否已成功创建,请使用 kubectl get certificate --namespace ingress-basic 命令,并验证 READY 是否为 True,这可能需要数分钟

$ kubectl get certificate --namespace ingress-basic

NAME         READY   SECRET       AGE
tls-secret   True    tls-secret   11m

测试入口配置

将 Web 浏览器打开到 Kubernetes 入口控制器的 hello-world-ingress.MY_CUSTOM_DOMAIN。 请注意,系统会将你重定向,让你使用 HTTPS。证书是受信任的,演示应用程序显示在 Web 浏览器中。 添加路径,并注意显示了自定义标题的第二个演示应用程序。

清理资源

本文使用 Helm 来安装入口组件、证书和示例应用。 在部署 Helm 图表时,会创建若干 Kubernetes 资源。 这些资源包括 pod、部署和服务。 若要清理这些资源,可以删除整个示例命名空间,也可以删除单个资源。

删除示例命名空间以及所有资源

若要删除整个示例命名空间,请使用 kubectl delete 命令并指定命名空间名称。 将会删除命名空间中的所有资源。

控制台复制

kubectl delete namespace ingress-basic

单独删除资源

也可采用更细致的方法来删除单个已创建的资源。 首先,删除群集颁发者资源:

控制台复制

kubectl delete -f cluster-issuer.yaml --namespace ingress-basic

使用 helm list 命令列出 Helm 版本。 查找名为“nginx”和“cert-manager”的图表,如以下示例输出中所示 :

复制

$ helm list --namespace ingress-basic

NAME                    NAMESPACE       REVISION        UPDATED                                 STATUS          CHART                   APP VERSION
cert-manager            ingress-basic   1               2020-01-15 10:23:36.515514 -0600 CST    deployed        cert-manager-v0.13.0    v0.13.0    
nginx                   ingress-basic   1               2020-01-15 10:09:45.982693 -0600 CST    deployed        nginx-ingress-1.29.1    0.27.0

使用 helm uninstall 命令卸载这些版本。 以下示例将卸载 NGINX 入口和证书管理器部署。

复制

$ helm uninstall cert-manager nginx --namespace ingress-basic

release "cert-manager" uninstalled
release "nginx" uninstalled

接下来,删除两个示例应用程序:

控制台复制

kubectl delete -f aks-helloworld-one.yaml --namespace ingress-basic
kubectl delete -f aks-helloworld-two.yaml --namespace ingress-basic

删除将流量定向到示例应用的入口路由:

控制台复制

kubectl delete -f hello-world-ingress.yaml --namespace ingress-basic

最后,可以删除自身命名空间。 使用 kubectl delete 命令并指定命名空间名称。

控制台复制

kubectl delete namespace ingress-basic
Jaaavvvaaa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-event-exporter:通过路由和过滤将Kubernetes事件导出到多个目标
02-03
kubernetes-event-exporter 该工具在上。 该工具允许将经常错过的Kubernetes事件导出到各种输出,以便可以将它们用于可观察性或警报目的。 您不会相信所缺少的。 部署方式 继续deploy/文件夹并以给定的文件名顺序应用YAML。 不要忘记根据您的配置需求修改deploy/01-config.yaml文件。 有关配置的其他信息如下: 组态 配置是通过YAML文件完成的,当在Kubernetes中运行时,它位于ConfigMap中。 该工具监视所有事件,用户必须根据其属性选择过滤掉一些事件。 关键事件可以路由到警报工具,例如Opsgenie,或者所有事件都可以转储到Elasticsearch实例。 您可以使用名称空间,相关对象上的标签来通过Slack将一些与Pod相关的事件路由给所有者。 最终路由是一棵允许灵活性的树。 通常如下所示: route : # Main route routes : # This route allows dumping all events because it has no fields to match
k8s证书管理【Cert manager自动签发/更新证书
Happywzy~的博客
01-06 3989
Cert manager使用的是免费证书Let's Encrypt,并支持在证书过期时自动更新。 本文Cert manager使用版本:v0.12.0 官方文档:https://cert-manager.io/docs 添加helm源 注意stable/cert-manager已经过时不再维护了,转到jetstack/cert-manager。 helm repo add j...
Kubernetes 集群自签证书配置,2024年最新面试流程4轮技术面+1轮HR
最新发布
2401_84166702的博客
04-09 179
Issuer 与 ClusterIssuer 的区别是 ClusterIssuer 可跨命名空间使用,而 Issuer 需在每个命名空间下配置后才可使用。这里分别配置了测试环境与生产环境两个 ClusterIssuer, 原因是 Let’s Encrypt 的生产环境有着非常严格的接口调用限制,最好是在测试环境测试通过后,再切换为生产环境。注:如果你的ingress做的是外部nginx转发需要先把nginx配置写好,确保能够正确访问到正确的域名。三、配置Issuer或者Clusterissuer。
k8s证书管理:如何配置Cert-Manager与Let‘s Encrypt集成以自动申请证书
学亮编程手记
11-07 118
请注意,示例中使用的是Let’s Encrypt的生产环境,对于测试和开发环境,您可以使用Let’s Encrypt的Staging环境(https://acme-staging-v02.api.letsencrypt.org/directory),以避免达到Let’s Encrypt生产环境的频率限制。通过以上步骤,您将配置了Cert-Manager与Let’s Encrypt的集成,并使其自动申请和管理证书Cert-Manager将处理证书自动更新和续期,以确保您的应用程序始终使用有效的证书
K8s 中使用 cert-manager 申请免费 Https 证书
dotNET跨平台
01-22 1531
K8s 中使用 cert-manager 申请免费 Https 证书Intro最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个...
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2126
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
k8s部署cert-manager实现证书自动
weixin_44692256的博客
08-28 3647
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
使用cert-manager给阿里云的DNS域名授权SSL证书
少说多做
09-18 4110
背景介绍 cert-managerKubernetes上一个管理SSL证书的插件,配合nginx-ingress可以对网站配置https访问,在加上letsencrypt提供免费的SSL证书,所有就产生了cert-manager+nginx-ingress+letsencrypt的免费套餐。 但是cert-manager默认是不支持阿里云的DNS的,需要自己编写webhook,借助网上大神编写的...
k8s1.18.20通过cert-manager、kubed实现三个月免费证书自动续签
那个那个
07-19 1159
目前证书只能在cert-manager名称空间下使用,我们需要再部署一个kubed/config-syncer同步服务,将cert-manager名称空间下的ssl证书同步到其他名称空间。gitlab地址:https://github.com/kubeops/config-syncer。后续可以通过浏览器验证,访问域名看证书是否正常。向letsencrypt申请三个月免费证书。检查证书是否同步到所有名称空间。检查,证书是否申请成功。查看secret信息。检查容器是否正常部署。
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1038
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
cert-manager:在Kubernetes自动配置和管理TLS证书
02-02
证书经理cert-managerKubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
cert-manager:Kubernetes自动TLS证书管理器-开源
04-25
证书管理器建立在Kubernetes之上,在Kubernetes API中引入了证书颁发机构和证书作为一流的资源类型。 这样就可以为在您的Kubernetes集群中工作的开发人员提供``证书即服务''。 支持流行的CA类型。 开箱即用的证书...
Kubernetes-templates:Kubernetes YAML模板-最佳实践,技巧和窍门已直接导入到生产部署模板中-加上CICD Jenkins和TeamCity,带有ACME的证书管理器让我们加密免费入口自动SSL证书,补丁,Kustomize等
03-09
与direnv一起使用以将正确的Kubernetes上下文自动加载到当前的shell中,以避免天真的更改全局~/.kube/config上下文引起的shell和脚本之间的竞争状况 从库派生,现在这是库的子模块,后者是DevOps , 和工具存储库的...
k8s-3:cert-manager安装使用
Datura_qing的博客
02-17 2460
一、安装 这里使用helm安装的1.6.1版本 先决条件 安装 Helm 版本 3 或更高版本。 安装受支持的 Kubernetes 或 OpenShift 版本。 如果您在云平台上使用 Kubernetes,请阅读与 Kubernetes 平台提供商的兼容性 1. 添加 Jetstack Helm 存储库: $ helm repo add jetstack https://charts.jetstack.io 2. 更新您本地的 Helm 图表存储库缓存
kubernetescert-manager使用DNS-01方式生成https证书(阿里云)
null
04-26 3959
说明 使用官方阿里云dns插件:https://github.com/pragkent/alidns-webhook 也可以使用其他开发者使用的:https://gitee.com/StephenEvenson/cert-manager-alidns-webhook?_from=gitee_search dns-01方式支持泛域名解析https证书 查看cert-manager支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/
创建K8s pod Webhook
cn_lyg的博客
08-24 931
为K8s核心组件Pod创建Webhook
k8s1.18.20:cert-manager 1.8 安装部署
那个那个
07-19 871
cert-managerKubernetes 集群中增加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型,并简化了获取、更新和应用这些证书的过程。它能够从各种反对的起源签发证书,包含 Let’s Encrypt、HashiCorp Vault 和 Venafi 以及私人 PKI。
k8s内证书自动生成且自动同步各名称空间+自动上传替换阿里云cdn和slb的证书
寒江孤影,江湖旧人。
07-21 801
k8s内证书自动生成且自动同步各名称空间+自动上传替换阿里云cdn和slb的证书
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
这个错误是因为您尝试安装Kubernetes的某个组件时,该组件的配置文件已经存在于相应的目录中。这可能是由于之前的安装过程中出现了问题或者手动创建了这些文件导致的。 为了解决这个问题,您可以尝试删除这些文件或备份它们,然后重新运行安装命令。您可以使用以下命令备份这些文件: ``` sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/manifests/kube-scheduler.yaml.bak sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak ``` 然后再次运行安装命令,应该就可以成功安装了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值