[英]Exposing a TCP port out of cluster in Kubernetes using nginx-Ingress
[英]Generate wildcard certificate on Kubernetes cluster with DigitalOcean for my Nginx-Ingress
我遵循了這個 DigitalOcean 指南https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes ,我遇到了一些事情很奇怪。 當在主機名中設置通配符時, letsencrypt
無法頒發新證書。 而當我只設置定義的子域時,它可以完美地工作。
這是我對域及其 api 的“工作”配置(這個工作完美):
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- api.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
相反,這是我試圖頒發的通配符證書,但這無法留下“正在頒發”的消息。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- *.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
唯一的區別是主機的第二行。 有一個我不知道的微不足道的眾所周知的解決方案嗎? 我是 Kubernetes 的新手,但不是 DevOps 的新手。
使用cert-manager
( letsencrypt
) 生成通配符證書需要使用DNS-01
質詢,而不是問題鏈接中使用的HTTP-01
:
Let's Encrypt 是否頒發通配符證書?
是的。 通配符發行必須通過 ACMEv2 使用 DNS-01 質詢來完成。 有關更多技術信息,請參閱此帖子。
有一個關於使用cert-manager
生成wildcard
證書的文檔:
從DigialOcean的角度來看,有專門針對它的指南:
此提供程序使用 Kubernetes
Secret
資源來工作。 在以下示例中,必須將Secret
命名為digitalocean-dns
並具有包含令牌的子密鑰access-token
。 例如:apiVersion: v1 kind: Secret metadata: name: digitalocean-dns namespace: cert-manager data: # insert your DO access token here access-token: "base64 encoded access-token here"
訪問令牌必須具有寫入權限。
要創建個人訪問令牌,請參閱DigitalOcean 文檔。
方便的直接鏈接: https://cloud.digitalocean.com/account/api/tokens/new
要將您的訪問令牌編碼為 base64,您可以使用以下命令
echo -n 'your-access-token' | base64 -w 0
apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: example-issuer spec: acme: ... solvers: - dns01: digitalocean: tokenSecretRef: name: digitalocean-dns key: access-token
我認為這些額外的資源也可以提供幫助:
通配符證書需要DNS-01
方法
注意:您可能需要先在 DNS 中添加 CAA 記錄。
CAA 記錄可以添加到 DNS 區域
示例:
Type Value
devops.in CAA 0 issuewild "letsencrypt.org"
獲取詳細信息: https://sslmate.com/caa/
首先,您必須使用命令創建用於存儲access key
的秘密
kubectl create secret generic route53-secret --from-literal=secret-access-key="skjdflk4598sf/dkfj490jdfg/dlfjk59lkj"
這里分享示例issuer.yaml
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt-prod
spec:
acme:
email: test123@gmail.com
server: https://acme-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: letsencrypt-prod
solvers:
- selector:
dnsZones:
- "devops.in"
dns01:
route53:
region: us-east-1
hostedZoneID: Z2152140EXAMPLE
accessKeyID: AKIA5A5D7EXAMPLE
secretAccessKeySecretRef:
name: route53-secret
key: secret-access-key
---
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: le-crt
spec:
secretName: tls-secret
issuerRef:
kind: Issuer
name: letsencrypt-prod
commonName: "*.devops.in"
dnsNames:
- "*.devops.in"
此外,請確保您的用戶具有管理Route53
的必要權限
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:GetChange",
"Resource": "arn:aws:route53:::change/*"
},
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/*"
},
{
"Effect": "Allow",
"Action": "route53:ListHostedZonesByName",
"Resource": "*"
}
]
}
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.