helm 部署 cert-manager 实践

已于 2023-09-05 14:31:21 修改
阅读量714 收藏 2
点赞数
分类专栏: kubernetes 文章标签: kubernetes docker 容器 云原生 cert-manager
于 2023-07-19 11:51:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahalelehehe/article/details/129986416
版权

文章目录

1. 介绍

Cert-manager 是一个 Kubernetes 上的证书管理控制器,它可以自动化证书签发和更新的过程。它使用了 Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及与之相关的资源,如私钥和证书链。Cert-manager 支持多种证书颁发机构(CA),包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。

Cert-manager 可以与 Kubernetes Ingress 控制器集成,以自动化 HTTPS 证书的签发和更新。当您创建一个 Ingress 资源时,Cert-manager 可以自动创建证书请求并向证书颁发机构提交请求。一旦证书颁发机构签发证书,Cert-manager 将自动将证书安装到相应的 Ingress 资源中,并配置 TLS 终止。

Cert-manager 还支持 ACME 协议(自动证书管理环境),它是一种自动化证书颁发协议,由 Let’s Encrypt 领导的开放标准。ACME 协议允许您使用 Let’s Encrypt 颁发的免费证书来启用 HTTPS,而不需要手动管理证书的签发和更新过程。

Cert-manager 还提供了一个 Webhook API,使您可以将自定义证书颁发机构集成到 Cert-manager 中,以便通过 Cert-manager 进行管理。

总的来说,Cert-manager 可以帮助您简化证书管理的流程,确保您的应用程序始终使用最新的证书,并且可以在 Kubernetes 中轻松地实现自动化证书管理。

2. 架构

Cert-manager 通过 Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及与之相关的资源,如私钥和证书链。Cert-manager 运行在 Kubernetes 集群中,作为一个 Deployment 或者 StatefulSet,包含以下三个主要组件:

  • cert-manager 控制器:负责监视证书颁发请求(CertificateRequest)和颁发机构(Issuer 或 ClusterIssuer)的变化,并将证书颁发请求提交到相应的颁发机构进行签发。一旦证书颁发机构签发了证书,控制器将自动将证书安装到 Kubernetes 中的相应资源中。

  • 证书颁发机构:用于配置证书颁发的配置和身份验证信息。Cert-manager 支持多种证书颁发机构,包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。

  • Webhook 服务:使得 Cert-manager 可以扩展到自定义证书颁发机构。Webhook 服务允许您将自定义证书颁发机构集成到 Cert-manager 中,以便通过 Cert-manager 进行管理。

Cert-manager 还可以与 Kubernetes 中的 Ingress 控制器集成,以自动化 HTTPS 证书的签发和更新。当您创建一个 Ingress 资源时,Cert-manager 可以自动创建证书请求并向证书颁发机构提交请求。一旦证书颁发机构签发证书,Cert-manager 将自动将证书安装到相应的 Ingress 资源中,并配置 TLS 终止。

3. 安装

下来我们安装 Cert-manager,它会为我们自动签发免费的 Let’s Encrypt HTTPS 证书,并在过期前自动续期。首先,运行 helm repo add 命令添加官方 Helm 仓库。

$ kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.12.0/cert-manager.crds.yaml
$ helm repo add jetstack https://charts.jetstack.io
"jetstack" has been added to your repositories

然后,运行 helm repo update 更新本地缓存。

$ helm repo update
...Successfully got an update from the "jetstack" chart repository

接下来,运行 helm install 来安装 Cert-manager

$ helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --version v1.12.0 --set ingressShim.defaultIssuerName=letsencrypt-prod --set ingressShim.defaultIssuerKind=ClusterIssuer --set ingressShim.defaultIssuerGroup=cert-manager.io --set installCRDs=true

NAME: cert-manager
LAST DEPLOYED: Mon Oct 17 21:26:44 2022
NAMESPACE: cert-manager
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
cert-manager v1.12.0 has been deployed successfully!

查看状态

$ kubectl get all -n cert-manager
NAME                                          READY   STATUS    RESTARTS   AGE
pod/cert-manager-6c4f5bb68f-7q762             1/1     Running   0          53s
pod/cert-manager-cainjector-f5c6565d4-8vpc4   1/1     Running   0          53s
pod/cert-manager-webhook-5f44bc85f4-9b7nz     1/1     Running   0          53s

NAME                           TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)    AGE
service/cert-manager           ClusterIP   10.96.3.160   <none>        9402/TCP   53s
service/cert-manager-webhook   ClusterIP   10.96.3.178   <none>        443/TCP    53s

NAME                                      READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/cert-manager              1/1     1            1           53s
deployment.apps/cert-manager-cainjector   1/1     1            1           53s
deployment.apps/cert-manager-webhook      1/1     1            1           53s

NAME                                                DESIRED   CURRENT   READY   AGE
replicaset.apps/cert-manager-6c4f5bb68f             1         1         1       53s
replicaset.apps/cert-manager-cainjector-f5c6565d4   1         1         1       53s
replicaset.apps/cert-manager-webhook-5f44bc85f4     1         1         1       53s

此外,还需要为 Cert-manager 创建 ClusterIssuer,用来提供签发机构。将下面的内容保存为 cluster-issuer.yaml

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: "1zoxun1@gmail.com"
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:    
    - http01:
        ingress:
          class: nginx

注意,这里你需要将 spec.acme.email 替换为你真实的邮箱地址。然后运行 kubectl apply 提交到集群内。

$ kubectl apply -f cluster-issuer.yaml
clusterissuer.cert-manager.io/letsencrypt-prod created

到这里,Cert-manager 就已经配置好了。

4. 测试

5. 删除

helm list -n cert-manager
helm delete cert-manager  -n cert-manager

删除 cert-manager 命名空间

$ k delete ns cert-manager
$ cat delete-ns.sh
#!/bin/bash

NAMESPACE=$1
kubectl proxy --port=8002 &
kubectl get namespace $NAMESPACE -o json |jq '.spec = {"finalizers":[]}' >temp.json
curl -k -H "Content-Type: application/json" -X PUT --data-binary @temp.json 127.0.0.1:8002/api/v1/namespaces/$NAMESPACE/finalize

离线安装

curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.crds.yaml
helm repo add jetstack https://charts.jetstack.io
helm repo update
helm fetch jetstack/cert-manager --version v1.11.0 -d .
docker pull quay.io/jetstack/cert-manager-controller:v1.11.0 && docker save -o cert-manager-controller-v1.11.0.tar quay.io/jetstack/cert-manager-controller:v1.11.0
docker pull quay.io/jetstack/cert-manager-cainjector:v1.11.0 && docker save -o cert-manager-cainjector-v1.11.0.tar quay.io/jetstack/cert-manager-cainjector:v1.11.0
docker pull quay.io/jetstack/cert-manager-webhook:v1.11.0 && docker save -o cert-manager-webhook-v1.11.0.tar quay.io/jetstack/cert-manager-webhook:v1.11.0
docker pull quay.io/jetstack/cert-manager-ctl:v1.11.0 && docker save -o cert-manager-ctl-v1.11.0.tar quay.io/jetstack/cert-manager-ctl:v1.11.0

参考:

ghostwritten
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
helm-aws-cert-manager
03-21
掌舵人经理
k8s-3:cert-manager安装使用
Datura_qing的博客
02-17 2492
一、安装 这里使用helm安装的1.6.1版本 先决条件 安装 Helm 版本 3 或更高版本。 安装受支持的 Kubernetes 或 OpenShift 版本。 如果您在云平台上使用 Kubernetes,请阅读与 Kubernetes 平台提供商的兼容性 1. 添加 Jetstack Helm 存储库: $ helm repo add jetstack https://charts.jetstack.io 2. 更新您本地的 Helm 图表存储库缓存
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2177
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
教你读懂cert-manager官网并且使用letsencrypt(一)。
最新发布
博然的宝藏库
03-19 793
意思就是你使用ingress来调用issuer你需要给ingress添加注解即:Annotated ingress ,然后cert-manager有一个组件叫ingress-shim会watch创建带有这个注解的ingress然后读取yaml并且自动创建ingress中的实际服务器的证书并且自动启用你创建的issuer去挑战这个实际服务器的域名然后创建一个服务器证书。需要给你的创建的 issuer要有一个密钥,secretName字段你想写啥写啥,他会自动创建一个和你写的名称一致的secret。
手把手教你使用 cert-manager 签发免费证书
热门推荐
吉小白的博客
10-27 1万+
概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let's Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。 cert-manager 工作原理 cert-manager 部署到 K
cert-manager使用
Blue summer的博客
07-31 2526
在使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
Cert Manager 申请SSL证书流程及相关概念-二
east4ming的博客
01-21 1386
中英文对照表 英文 英文 - K8S CRD 中文 备注 certificates Certificate 证书 certificates.cert-manager.io/v1 certificate issuers Issuer 证书颁发者 issuers.cert-manager.io ClusterIssuer 集群证书颁发者 clusterissuers.cert-manager.io certificate request CertificateRequest 证书申请
helm安装cert-manager自动化Https(1.8)
wnfff的博客
12-12 5281
Helm安装cert-manager自动化 HTTPS一. 部署1.1 下载1.2 创建crd1.3 创建签发机构1.4 自定义value配置文件1.5 安装二. 测试 注意:要有自己的域名 一. 部署 1.1 下载 [root@master helm]# helm search stable/cert-manager NAME CHART VERSION APP...
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
3、使用 Helm 部署 metrics-server1
08-04
使用下面的命令可以获取到关于集群节点基本的指标信息:ingress-nginx nginx-ingress-controller-6f5687c58d-jdxz
cert-manager-app:在工作负载群集中运行的证书管理器服务的Helm图表
04-12
$ git clone https://github.com/giantswarm/cert-manager-app.git$ cd cert-manager-app$ helm install helm/cert-manager-app 提供自定义values.yaml : $ helm install cert-manager-app -f values.yaml 部署到...
terraform-aws-eks-cert-manager
04-14
AWS EKS Cert Manager Terraform模块 我们通过采用正确的技术和原则来帮助公司构建,运行,部署和扩展软件和基础架构。 请访问我们的网站描述用于在Amazon EKS集群上部署证书管理器的terraform模块。相关项目查看...
k8s 使用cert-manager证书管理自签
weixin_42562106的博客
01-20 778
metadata:spec:tls:- hosts:rules:http:paths:- path: /backend:service:port:http:paths:- path: /backend:service:port:最后访问。
helm 制作应用的离线安装包
magic_guo的博客
08-12 1281
helm下载对应的压缩包:https://github.com/helm/helm/releases解压,将helm文件cp到/usr/local/bin/ 文件夹下,查看helm版本;不同的k8s对应不同的helm版本,下载时留心注意;
k8s学习(RKE+k8s+rancher2.x)成长系列之简配版环境搭建(四)之Helmcert-manager安装
nhm_lxy的专栏
02-20 446
【代码】k8s学习(RKE+k8s+rancher2.x)成长系列之简配版环境搭建(四)之Helmcert-manager安装。
k8s中cert-manager管理https证书
椰汁菠萝
02-02 961
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
k8s cert-manager安装及基本使用示例
学亮编程手记
11-07 194
请记住,这只是一个简单的示例,您可以根据自己的需求和环境进行更详细的配置和调整。Cert-Manager还提供了其他功能和配置选项,如自定义证书颁发机构、自动更新证书等,您可以查阅官方文档以获取更多信息和示例:https://cert-manager.io/docs/通过以上步骤,您将通过Cert-Manager自动颁发Let’s Encrypt证书,并将其与Ingress关联,从而实现HTTPS访问。查看"Events"部分,确保证书已被颁发并与Ingress关联。替换为您正在使用的后端服务。
二十一、K8s集群设置3-HTTPS-Cert-manager
tushanpeipei的博客
12-03 1280
一、Cert-manager原理 紧接着上个部分:https://blog.csdn.net/tushanpeipei/article/details/121369497?spm=1001.2014.3001.5501。我们已经实现了使用CFSSL的方式自己设置CA机构颁发证书。但是由于CA机构是自己产生的,非权威,也就是说无法受到访问者的认可。所以我们需要前往权威的CA机构去申请自己的证书。 Letsencrypt-CA是一家免费提供证书的CA机构,但是正式的时间只有90
helm部署gitlab-ce
07-28
对于使用 Helm 部署 GitLab CE,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了 Helm 和 Kubernetes,并且已经配置好了对应的上下文。 2. 添加 GitLab Helm 仓库到 Helm: ``` helm repo add gitlab https://charts.gitlab.io/ helm repo update ``` 3. 创建一个用于部署 GitLab 的命名空间(如果您还没有创建): ``` kubectl create namespace <namespace> ``` 4. 安装 GitLab CE: ``` helm install gitlab-ce gitlab/gitlab \ --namespace <namespace> \ --set global.edition=ce ``` 在上述命令中,您可以根据需要设置其他的参数,例如: - `global.hosts.domain`:GitLab 所在的域名(默认为 `example.com`) - `certmanager-issuer.email`:用于 HTTPS 证书的电子邮件地址 - `nginx-ingress.enabled`:是否启用 Nginx Ingress Controller 5. 您可以使用以下命令来检查 GitLab 是否已成功部署: ``` kubectl get pods -n <namespace> ``` 当所有的 Pod 状态都变为 "Running" 时,表示 GitLab 已经成功部署。 请注意,上述步骤只是一个基本的示例,您还可以根据实际需求进行更多的配置和定制化。另外,根据您的集群规模和资源配置,部署过程可能需要一些时间,请耐心等待部署完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ghostwritten

口渴,请赏一杯下午茶吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值