帶有 linkerd 和證書管理器的通量有頒發者錯誤
[英]flux with linkerd and cert manager has issuer error
問題描述
我正在為 tls 輪換安裝帶有通量和證書管理器的 linkerd helm verison
證書管理器擁有默認配置,因此沒有太多可談的
使用此配置的通量和鏈接器:
發布.yaml
apiVersion: helm.toolkit.fluxcd.io/v2beta1
kind: HelmRelease
metadata:
name: linkerd
namespace: linkerd
spec:
interval: 5m
values:
identity.issuer.scheme: kubernetes.io/tls
installNamespace: false
valuesFrom:
- kind: Secret
name: linkerd-trust-anchor
valuesKey: tls.crt
targetPath: identityTrustAnchorsPEM
chart:
spec:
chart: linkerd2
version: "2.11.2"
sourceRef:
kind: HelmRepository
name: linkerd
namespace: linkerd
interval: 1m
源代碼.yaml
---
apiVersion: source.toolkit.fluxcd.io/v1beta2
kind: HelmRepository
metadata:
name: linkerd
namespace: linkerd
spec:
interval: 5m0s
url: https://helm.linkerd.io/stable
鏈接器信任錨.yaml
apiVersion: v1
data:
tls.crt: base64encoded
tls.key: base64encoded
kind: Secret
metadata:
name: linkerd-trust-anchor
namespace: linkerd
type: kubernetes.io/tls
它是由以下內容創建的:
step certificate create root.linkerd.cluster.local ca.crt ca.key \
--profile root-ca --no-password --insecure
發行者.yaml
---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: linkerd-trust-anchor
namespace: linkerd
spec:
ca:
secretName: linkerd-trust-anchor
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: linkerd-identity-issuer
namespace: linkerd
spec:
secretName: linkerd-identity-issuer
duration: 48h
renewBefore: 25h
issuerRef:
name: linkerd-trust-anchor
kind: Issuer
commonName: identity.linkerd.cluster.local
dnsNames:
- identity.linkerd.cluster.local
isCA: true
privateKey:
algorithm: ECDSA
usages:
- cert sign
- crl sign
- server auth
- client auth
現在到了協調的時候,我在 helmrelease 中遇到了這個錯誤
Helm install failed: execution error at (linkerd2/templates/identity.yaml:19:21): Please provide the identity issuer certificate
但是手動操作確實可以完美地工作
helm install linkerd2 \
--set-file identityTrustAnchorsPEM=ca.crt \
--set identity.issuer.scheme=kubernetes.io/tls \
--set installNamespace=false linkerd/linkerd2 \
-n linkerd
如果我有相同的設置但沒有手動聲明證書管理器和證書(使用不同的秘密名稱,因為 linkerd 將自行創建它),它也可以工作,如下所示:
valuesFrom:
- kind: Secret
name: linkerd-trust-anchor
valuesKey: tls.crt
targetPath: identityTrustAnchorsPEM
- kind: Secret
name: linkerd-identity-issuer-2
valuesKey: tls.crt
targetPath: identity.issuer.tls.crtPEM
- kind: Secret
name: linkerd-identity-issuer-2
valuesKey: tls.key
targetPath: identity.issuer.tls.keyPEM
我錯過了什么嗎?
1 個解決方案
解決方案1
1 2022-06-27 22:07:11
問題出在這里:
values:
identity.issuer.scheme: kubernetes.io/tls
它應該是:
values:
identity:
issuer:
scheme: kubernetes.io/tls
否則,helm 不會識別它,linkerd 會認為 schema 是 linkerd.io/tls,這與 kubernetes secret tls 的 schema 結構不匹配。
Kubernetes - cert-manager - 創建使用 Hashicorp Vault 的頒發者時出錯
[英]Kubernetes - cert-manager - error while creating the issuer that uses Hashicorp Vault
使用 terrafom 在 GCP 上創建證書管理器頒發者、證書的方法
[英]Way to create cert-manager issuer, certificate on GCP with terrafom
注釋 cert-manager.io/cluster-issuer: acme-issuer 是否足以生成 TLS 證書?
[英]Is the annotation cert-manager.io/cluster-issuer: acme-issuer enough to generate a TLS certificate?
發生了錯誤。 Websocket 錯誤:在 Linkerd 儀表板中未定義
[英]An error has occurred. Websocket error: undefined in Linkerd Dashboard
使用docker-compose為Rancher 2.x創建cert-manager的頒發者
[英]Create Issuer for cert-manager for Rancher 2.x launched with docker-compose
證書經理。 發生內部錯誤:調用 webhook 失敗。 錯誤的證書管理器掛鈎 ID
[英]Cert-manager. Internal error occurred: failed calling webhook. Wrong cert-manager hook ID
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
證書管理器 - 集群頒發者錯誤 - tls:握手失敗
Kubernetes - cert-manager - 創建使用 Hashicorp Vault 的頒發者時出錯
發行人更改后,Kubernetes證書經理不更新證書
使用 terrafom 在 GCP 上創建證書管理器頒發者、證書的方法
如何解決 Cert-Manager letencrypt 頒發者問題?
注釋 cert-manager.io/cluster-issuer: acme-issuer 是否足以生成 TLS 證書?
發生了錯誤。 Websocket 錯誤:在 Linkerd 儀表板中未定義
使用docker-compose為Rancher 2.x創建cert-manager的頒發者
Kubernetes cert-manager 證書生成錯誤
證書經理。 發生內部錯誤:調用 webhook 失敗。 錯誤的證書管理器掛鈎 ID
相關標簽