2. 程式人生 > 其它 >Kubernetes 監控:CertManager 自動 HTTPS

Kubernetes 監控:CertManager 自動 HTTPS

阿新 發佈:2022-05-30

cert-manager 是一種自動執行證書管理的工具,它可以與 Istio Gateway 整合以管理 TLS 證書,當然也可以很方便地和前面我們配置的 ingress-nginx 或者 traefik 配合使用。對於和 Istio 的整合使用,無需特殊配置即可。

在進行本節實驗之前記得將前面章節的實驗內容進行清空。

安裝

要在 Kubernetes 叢集上安裝 cert-manager 也非常簡單,官方提供了一個單一的資源清單檔案,包含了所有的資源物件,所以直接安裝即可:

# Kubernetes 1.15+
$ kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v0.16.1/cert-manager.yaml

# Kubernetes <1.15
$ kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v0.16.1/cert-manager-legacy.yaml

上面的命令會建立一個名為 cert-manager 的名稱空間,安裝大量的 CRD 以及 AdmissionWebhook 物件,可以通過如下命令來檢視是否安裝成功:

$ kubectl get pods --namespace cert-manager
NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-7ddc5b4db-56nln               1/1     Running   0          4m46s
cert-manager-cainjector-6644dc4975-zthcj   1/1     Running   0          4m47s
cert-manager-webhook-7b887475fb-9fbp4      1/1     Running   0          4m45s

正常情況下可以看到 cert-manager、cert-manager-cainjector 以及 cert-manager-webhook 這幾個 Pod 處於 Running 狀態。我們可以通過下面的測試來驗證下是否可以簽發基本的證書型別,建立一個 Issuer 資源物件來測試 webhook 工作是否正常(在開始簽發證書之前,必須在群集中至少配置一個 Issuer 或 ClusterIssuer 資源):

$ cat <<EOF > test-resources.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: cert-manager-test
---
apiVersion: cert-manager.io/v1alpha2
kind: Issuer
metadata:
  name: test-selfsigned
  namespace: cert-manager-test
spec:
  selfSigned: {}  # 配置自簽名的證書機構型別
---
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: selfsigned-cert
  namespace: cert-manager-test
spec:
  dnsNames:
  - example.com
  secretName: selfsigned-cert-tls
  issuerRef:
    name: test-selfsigned
EOF

這裡我們建立了一個名為 cert-manager-test 的名稱空間,建立了一個 Issuer 的證書頒發機構,然後使用這個 Issuer 來建立一個證書 Certificate 物件,直接建立上面的資源清單即可:

$ kubectl apply -f test-resources.yaml 
namespace/cert-manager-test created
issuer.cert-manager.io/test-selfsigned created
certificate.cert-manager.io/selfsigned-cert created

建立完成後可以檢查新建立的證書狀態,在 cert-manager 處理證書請求之前,可能需要稍微等幾秒:

$ kubectl describe certificate -n cert-manager-test
Name:         selfsigned-cert
Namespace:    cert-manager-test
......
Spec:
  Dns Names:
    example.com
  Issuer Ref:
    Name:       test-selfsigned
  Secret Name:  selfsigned-cert-tls
Status:
  Conditions:
    Last Transition Time:  2020-08-16T01:50:40Z
    Message:               Certificate is up to date and has not expired
    Reason:                Ready
    Status:                True
    Type:                  Ready
  Not After:               2020-11-14T01:50:39Z
  Not Before:              2020-08-16T01:50:39Z
  Renewal Time:            2020-10-15T01:50:39Z
  Revision:                1
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    64s   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  64s   cert-manager  Stored new private key in temporary Secret resource "selfsigned-cert-25ftw"
  Normal  Requested  64s   cert-manager  Created new CertificateRequest resource "selfsigned-cert-p2sbx"
  Normal  Issuing    63s   cert-manager  The certificate has been successfully issued

從上面的 Events 事件中我們可以證書已經成功簽發了,到這裡證明我們的 cert-manager 已經安裝成功了。而且我們需要注意的是 cert-manager 的功能非常強大,不只是可以支援 ACME 型別的證書籤發,還支援其他眾多的型別,比如 SelfSigned(自簽名)、CA、Vault、Venafi、External、ACME,只是我們一般主要是使用 ACME 來幫我們生成自動化的證書。

環境配置

由於通過 ACME 做自動化證書的時候,需要暴露 80 和 443 埠,當然如果我們使用 DNS 校驗方式也可以,但是有時候我們根本就沒有域名的情況下想要實現自動化證書,我們可以使用 xip.io 這類的服務來實現。前面我們部署 istio-ingressgateway 的時候是通過 NodePort 類暴露的服務,所以我們需要在前面加一個 LB 來轉發下請求。這裡為了簡單,我直接使用 haproxy 來監聽節點的 80 和 443 埠,將請求轉發到後端的 NodePort 埠。

首先安裝 haproxy:

$ yum install -y haproxy

然後配置 haproxy,配置檔案 /etc/haproxy/haproxy.cfg,內容如下所示:

listen stats
  bind    *:9000
  mode    http
  stats   enable
  stats   hide-version
  stats   uri       /stats
  stats   refresh   30s
  stats   realm     Haproxy\ Statistics
  stats   auth      Admin:Password

frontend istio-https
    bind *:443
    mode tcp
    option tcplog
    tcp-request inspect-delay 5s
    tcp-request content accept if { req.ssl_hello_type 1 }
    default_backend istio-https-svc

backend istio-https-svc
    mode tcp
    option tcplog
    option tcp-check
    balance roundrobin
    default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
    server istio-http-svc-1 127.0.0.1:30951 check

frontend istio-http
    bind *:80
    mode tcp
    option tcplog
    default_backend istio-http-svc

backend istio-http-svc
    mode tcp
    option tcplog
    option tcp-check
    balance roundrobin
    default-server inter 10s downinter 5s rise 2 fall 2 slowstart 60s maxconn 250 maxqueue 256 weight 100
    server istio-http-svc-1 127.0.0.1:32193 check

其中的 32193 與 30951 埠是 istio-ingressgateway 的 NodePort 埠:

$ kubectl get svc istio-ingressgateway -n istio-system
NAME                   TYPE       CLUSTER-IP       EXTERNAL-IP   PORT(S)                                                                      AGE
istio-ingressgateway   NodePort   10.102.120.128   <none>        15020:31093/TCP,80:32193/TCP,443:30951/TCP,31400:31871/TCP,15443:31367/TCP   68d

配置完成後直接啟動 haproxy 即可:

$ sudo systemctl start haproxy
$ sudo systemctl enable haproxy
$ sudo systemctl status haproxy

然後我們可以通過上面 9000 埠監控我們的 haproxy 的執行狀態:

與 Istio 整合

這裡我們來通過 cert-manager 為前面的 httpbin 應用配置自動的 HTTPS,首先單獨建立一個使用者 cert-manager 的自定義的 Gateay,如下所示:

$ cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: acme-gateway
  labels:
    app: ingressgateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - hosts:
    - "*.xip.io"
    port:
      number: 80
      name: http
      protocol: HTTP
    # tls:
    #   httpsRedirect: true
  - hosts:
    - "*.xip.io"
    port:
      name: https
      number: 443
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: "xip-cert"
---
EOF
gateway.networking.istio.io/acme-gateway created

需要注意的是在配置 Gateway 的時候 tls 的 credentialName 代表的是 cert-manager 自動生成的證書名稱。

接下來建立 VirtulService 物件,這裡我們使用 https 方式的 ACME 證書校驗方式,除了 http 方式之外還有 tls 與 dns 方式的校驗,dns 方式的證書校驗支援萬用字元的域名。所以我們需要為 /.well-known/ 這個 PATH 路徑做一個正確的配置,方便進行 http 校驗:

$ cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin
spec:
  gateways:
  - acme-gateway
  hosts:
  - httpbin.123.59.188.12.xip.io
  http:
  - route:
    - destination:
        host: httpbin
        port:
          number: 8000
EOF
virtualservice.networking.istio.io/httpbin created

部署完成後我們可以通過訪問 http://httpbin.123.59.188.12.xip.io 來驗證是否已經部署成功:

接下來創兩個 ClusterIssuer,一個用於測試,一個用於正式使用:

$ cat <<EOF | kubectl apply -f -
apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: letsencrypt-staging
    solvers:
    - http01:
        ingress:
          class: istio  
EOF
clusterissuer.cert-manager.io/letsencrypt-staging created
$ cat <<EOF | kubectl apply -f -
apiVersion: cert-manager.io/v1beta1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: istio  
EOF
clusterissuer.cert-manager.io/letsencrypt-prod created
$ kubectl describe clusterissuer                
......
Status:
  Acme:
    Last Registered Email:  [email protected]
    Uri:                    https://acme-v02.api.letsencrypt.org/acme/acct/94057742
  Conditions:
    Last Transition Time:  2020-08-16T07:37:40Z
    Message:               The ACME account was registered with the ACME server
    Reason:                ACMEAccountRegistered
    Status:                True
    Type:                  Ready
Events:                    <none>

然後建立一個 Certificate 物件來獲取證書,由於 Istio 需要在它的名稱空間下面有證書,所以我們需要在 istio-system 這個名稱空間下面建立:

$ cat <<EOF | kubectl apply -f -
apiVersion: cert-manager.io/v1beta1
kind: Certificate
metadata:
  name: httpbin-cert
  namespace: istio-system  # 這裡必須是 istio-system 空間
spec:
  secretName: xip-cert  # 這個就是上面 gateway 所配置的證書名稱
  issuerRef:
    kind: ClusterIssuer
    name: letsencrypt-staging
  commonName: httpbin.123.59.188.12.xip.io
  dnsNames:
  - httpbin.123.59.188.12.xip.io
EOF
certificate.cert-manager.io/httpbin-cert created

建立完成後這時候檢視 istio-system 空間應該會有一個 cm-acme-http-solver- 這個開頭的 Pod、Servie、Ingress 資源物件:

$ kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
cm-acme-http-solver-8tpbn               1/1     Running   0          16s
$ kubectl get svc -n istio-system
NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                                                      AGE
cm-acme-http-solver-w6sf7   NodePort    10.106.174.20    <none>        8089:32135/TCP
$ kubectl get ingress -n istio-system
NAME                        HOSTS                          ADDRESS   PORTS   AGE
cm-acme-http-solver-jkrs2   httpbin.123.59.188.12.xip.io             80      45s

隔一小會兒去檢視上面部署的 Certificate 物件的狀態:

$ kubectl describe certificate httpbin-cert -n istio-system
......
Events:
  Type    Reason     Age    From          Message
  ----    ------     ----   ----          -------
  Normal  Issuing    13m    cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  13m    cert-manager  Stored new private key in temporary Secret resource "http-cert-6cml8"
  Normal  Requested  13m    cert-manager  Created new CertificateRequest resource "http-cert-9wcg2"
  Normal  Issuing    6m17s  cert-manager  The certificate has been successfully issued

看到最後的資訊 The certificate has been successfully issued 證明我們的證書獲取成功了,但是這個時候如果我們通過 https 去訪問的話還是會提示證書錯誤的,因為我們獲取的是 staging 環境的證書:

這個時候我們重新更新 httpbin-cert 這個 Certificate 物件中引用的 issuer,更改為正式環境的 issuer,或者使用正式的簽名機構新建一個證書物件,正常就可以獲得線上環境的證書了。

相關推薦

Kubernetes 監控CertManager 自動 HTTPS

cert-manager 是一種自動執行證書管理的工具,它可以與 Istio Gateway 整合以管理 TLS 證書,當然也可以很方便地和前面我們配置的 ingress-nginx 或者 traefik 配合使用。對於和 Istio 的整合使用,無需特殊配置即可

Kubernetes 監控Prometheus Adpater =》自定義指標擴縮容

使用 Kubernetes 進行容器編排的主要優點之一是,它可以非常輕鬆地對我們的應用程式進行水平擴充套件。Pod 水平自動縮放(HPA)可以根據 CPU 和記憶體使用量來擴充套件應用,前面講解的 HPA 章節 我們只演示了基於 C

Kubernetes 監控Prometheus Operator

安裝 前面的章節中我們學習了用自定義的方式來對 Kubernetes 叢集進行監控,基本上也能夠完成監控報警的需求了。但實際上對上 Kubernetes 來說,還有更簡單方式來監控報警,那就是 Prometheus Operator。Prometheus

Kubernetes 監控Service Mesh 實踐 -- Istio 安全管控

除了流量管理、可觀測性之外,Istio 服務網格中還可以對網格進行安全管控。Istio 的安全功能主要分為三個部分的實現

Kubernetes監控實踐(1)K8s的工作原理與監控實踐

一、Kubernetes介紹 Kubernetes(K8s)是一個開源平臺,能夠有效簡化應用管理、應用部署和應用擴充套件環節的手動操作流程,讓使用者更加靈活地部署管理雲端應用。

Kubernetes監控實踐(2)可行監控方案之Prometheus和Sensu

本文介紹兩個可行的K8s監控方案Prometheus和Sensu。兩個方案都能全面提供系統級的監控資料,幫助開發人員跟蹤K8s關鍵元件的效能、定位故障、接收預警。

Kubernetes-19Prometheus-operator叢集監控神器

Prometheus-operator叢集監控 github地址https://github.com/prometheus-operator/kube-prometheus 具體的Prometheus是什麼,為什麼要用,什麼時候用,還請移步本人其他隨筆詳細檢視https://www.cnblogs.com/

Kubernetes 入門深入瞭解 Pod

Kubernetes 入門深入瞭解 Pod 》最早釋出在 blog.hdls.me/15346044250… Pod 作為 k8s 的基本排程單元,是 k8s 的核心資源所在。本文從 Pod 的使用、控制、排程、應用配置等方面入手,全方面講解 k8s 如何釋出

Spring系列七Spring 自動裝配

相思相見知何日?此時此夜難為情。 概述 在Spring框架中,在配置檔案中宣告bean的依賴關係是一個很好的做法,因為Spring容器能夠自動裝配協作bean之間的關係。這稱為spring自動裝配。

WINDOWS程式監控及故障自動重啟思路及bat指令碼實現

最近一套老系統運營過程中經常發生程式程序自動關閉,由於系統沒有開發人員進行維護,無法通過修改程式碼實現程式bug處理。因此考慮自己寫段指令碼進行自動監控及故障自動恢復。

Kubernetes-11ConfigMap介紹及演示

ConfigMap存在的意義 ConfigMap 功能在 Kubernetes1.2版本引入,許多應用程式會從配置檔案、命令列引數或環境變數中讀取配置資訊,ConfigMap API 給我們提供了向容器中注入配置資訊的機制,ConfigMap 可以用來儲存單

Kubernetes-12Secret介紹及演示

Secret介紹 Secret存在的意義   Secret解決了密碼、token、金鑰等敏感資料的配置問題,而不需要把這些敏感資料暴露到映象或者Pod Spec中,可以以Volume或者環境變數的方式使用

案例歸檔自動清理指令碼失效及連帶影響

前些天給同事準備一套模擬環境用於測試一個OGG問題 環境架構Oracle 11.2.0.4 RAC + 單例項11.2.0.4 ADG(同時作為OGG源端,OGG版本19.1.0.0.4) + 單例項19.3多租戶(其中1個PDB作為OGG目標端,OGG版本19.1.0.0.4

kubernetes學習CKA考試題

kubernetes學習CKA考試題 1. 列出環境內所有的pv 並以 name欄位排序(使用kubectl自帶排序功能)

容器監控cAdvisor

CAdvisor是Google開源的一款用於展示和分析容器執行狀態的視覺化工具。通過在主機上執行CAdvisor使用者可以輕鬆的獲取到當前主機上容器的執行統計資訊,並以圖表的形式向用戶展示。

DDR3新版(3)DDR3自動讀寫控制器

  和 DDR2 的設計類似,在 DDR3_burst 的基礎上,新增 FIFO,打造一個可以自動讀寫的 DDR3 控制器,讓其能夠方便的適用於不同的場合。

Postgres 日誌監控阻塞,死鎖,Checkpoint 優化(譯)

原文地址https://pganalyze.com/blog/postgresql-log-monitoring-101-deadlocks-checkpoints-blocked-queries

zabbix搭建-服務監控報警與自動恢復

#zabbix部署參考 https://www.cnblogs.com/itbox/p/12142066.html #關閉防火牆 systemctl disable firewalld.service

Centos7 keepalived安裝並監控mysql實現自動切換

安裝 下載(https://www.keepalived.org/download.html) wget https://www.keepalived.org/software/keepalived-2.1.5.tar.gz

Kubernetes-13Volume介紹及使用

Volume介紹 Volume存在的意義 容器磁碟上的檔案的生命週期是短暫的,這就使得在容器中執行重要應用時會出現一些問題,首先,當容器崩潰時,kubelet會重啟它,但是容器中的檔案將丟失——容器以乾淨的狀態