2. 程式人生 > >在阿里雲託管kubernetes上利用 cert-manager 自動簽發 TLS 證書[無坑版]

在阿里雲託管kubernetes上利用 cert-manager 自動簽發 TLS 證書[無坑版]

阿新 發佈:2020-08-11
## 前言 排錯的過程是痛苦的也是有趣的。 運維乃至IT,排錯能力是拉開人與人之間的重要差距。 本篇會記錄我的排錯之旅。 ### 由來 現如今我司所有業務都執行在阿里雲託管kubernetes環境上,因為前端需要對外訪問,所以需要對外域名,考慮申請https證書過於麻煩,所以希望藉助免費的工具自動生成[tls](https://baike.baidu.com/item/TLS/2979545?fr=aladdin)證書。 借鑑於網上或者[阿里雲](https://developer.aliyun.com/article/718711)的相關文件是存在大坑的,我認為有必要寫一篇無坑版的利用cert-manager自動簽發TLS證書。 ### 思路 cert-manager是Kubernetes上一個管理SSL證書的外掛,配合nginx-ingress可以對網站配置https訪問,在加上letsencrypt提供免費的SSL證書,所有就產生了cert-manager+nginx-ingress+letsencrypt的免費套餐。詳情請到GitHub檢視:[cert-manager](https://github.com/PowerDos/k8s-cret-manager-aliyun-webhook-demo) 本文將介紹:基於阿里雲託管kubernetes+cert-manager的 單域名,萬用字元域名證書申請。 ## 部署 注:網上大多都使用helm 部署的,而helm部署確實非常簡單,我認為最好最好不要使用他人的helm清單,不然出問題,就不曉得是怎麼一個部署邏輯,還需要去分析資源清單。 ### 前提 ``` kubectl create namespace cert-manager #建立 cert-manager 名稱空間 kubectl label namespace cert-manager certmanager.k8s.io/disable-validation=true #標記 cert-manager 名稱空間以禁用資源驗證 ``` ### 配置CRDs ``` wget https://github.com/jetstack/cert-manager/releases/download/v0.15.1/cert-manager-legacy.crds.yaml kubectl apply --validate=false -f cert-manager-legacy.crds.yaml ``` ### 配置cert-manager ``` # wget https://github.com/jetstack/cert-manager/releases/download/v0.15.1/cert-manager.yaml # kubectl apply --validate=false -f cert-manager.yaml 這裡會發現pod一直處於ContainerCreating 容器建立中 # kubectl get pods -n cert-manager NAME READY STATUS RESTARTS AGE cert-manager-75856bb467-fr5zz 0/1 ContainerCreating 0 16m cert-manager-cainjector-597f5b4768-jqsvp 0/1 ContainerCreating 0 16m cert-manager-webhook-5c9f7b5f75-gnphd 0/1 ContainerCreating 0 16m #檢視pod 詳情,會發現是因為拉取映象的問題,我的解決方案 #在香港機上拉取映象打標籤,推送到映象倉庫然後修改cert-manager.yaml的映象地址 #檢視原資源清單映象 # cat cert-manager.yaml |grep image image: "quay.io/jetstack/cert-manager-cainjector:v0.15.1" image: "quay.io/jetstack/cert-manager-controller:v0.15.1" image: "quay.io/jetstack/cert-manager-webhook:v0.15.1" #香港機拉取--> 打標籤 --> 推送 # docker pull quay.io/jetstack/cert-manager-cainjector:v0.15.1 # docker tag quay.io/jetstack/cert-manager-cainjector:v0.15.1 registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-cainjector-v0.15.1 # docker push registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-cainjector-v0.15.1 # docker pull quay.io/jetstack/cert-manager-controller:v0.15.1 # docker tag quay.io/jetstack/cert-manager-controller:v0.15.1 registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-controller-v0.15.1 # docker push registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-controller-v0.15.1 # docker pull quay.io/jetstack/cert-manager-webhook:v0.15.1 # docker tag quay.io/jetstack/cert-manager-webhook:v0.15.1 registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-webhook-v0.15.1 # docker push registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-webhook-v0.15.1 #現資源清單映象 【臨時映象倉庫地址為公開】 # cat cert-manager.yaml |grep image #image: "quay.io/jetstack/cert-manager-cainjector:v0.15.1" image: "registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-cainjector-v0.15.1" #image: "quay.io/jetstack/cert-manager-controller:v0.15.1" image: "registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-controller-v0.15.1" #image: "quay.io/jetstack/cert-manager-webhook:v0.15.1" image: "registry.cn-shenzhen.aliyuncs.com/realibox_test/cert-manager:cert-manager-webhook-v0.15.1" # kubectl apply --validate=false -f cert-manager.yaml # kubectl get pods -n cert-manager NAME READY STATUS RESTARTS AGE cert-manager-75856bb467-fr5zz 1/1 Running 0 1h cert-manager-cainjector-597f5b4768-jqsvp 1/1 Running 0 1h cert-manager-webhook-5c9f7b5f75-gnphd 1/1 Running 0 1h ``` #### 驗證cert-manager ``` # cat test-cert-manager.yaml ########################################################################## #Author: zisefeizhu #QQ: 2********0 #Date: 2020-08-11 #FileName: test-cert-manager.yaml #URL: https://www.cnblogs.com/zisefeizhu/ #Description: The test script #Copyright (C): 2020 All rights reserved ########################################################################### apiVersion: v1 kind: Namespace metadata: name: cert-manager-test --- apiVersion: cert-manager.io/v1alpha2 kind: Issuer metadata: name: test-selfsigned namespace: cert-manager-test spec: selfSigned: {} --- apiVersion: cert-manager.io/v1alpha2 kind: Certificate metadata: name: selfsigned-cert namespace: cert-manager-test spec: commonName: example.com secretName: selfsigned-cert-tls issuerRef: name: test-selfsigned # kubectl apply -f test-cert-manager.yaml Normal GeneratedKey 20s cert-manager Generated a new private key Normal Requested 20s cert-manager Created new CertificateRequest resource "selfsigned-cert-2334779822" Normal Issued 20s cert-manager Certificate issued successfully # kubectl delete -f test-cert-manager.yaml ``` ### 通過dns配置域名證書 這裡樣式的是阿里雲DNS操作的流程,如果需要其他平臺的方法,可以自行開發,或者找已開源webhook,這是官方的例子:https://github.com/jetstack/cert-manager-webhook-example 這裡用的是這個包:https://github.com/pragkent/alidns-webhook ### 配置alidns的webhook ``` # wget https://raw.githubusercontent.com/pragkent/alidns-webhook/master/deploy/bundle.yaml # kubectl apply -f bundle.yaml # kubectl get pods -n cert-manager #檢視webhook NAME READY STATUS RESTARTS AGE cert-manager-webhook-alidns-6b87bc8597-tc9pk 1/1 Running 2 1h ``` ### 配置Issuer `cert-manager` 提供了`Issuer` 和 `ClusterIssuer` 兩種型別的簽發機構,`Issuer` 只能用來簽發自己所在名稱空間下的證書,`ClusterIssuer`可以簽發任意名稱空間下的證書。 通過阿里雲RAM建立一個賬號,並授權`AliyunDNSFullAccess,管理雲解析(DNS)的許可權`,將賬號的AK記下來,並通過下面的命令建立secret,這個secret用於webhook在DNS認證的時候,會向DNS解析裡面寫入一條txt型別的記錄,認證完成後刪除。 建立 alidns AccessKey Id 和 Secret ``` # kubectl -n cert-manager create secret generic alidns-access-key-id --from-literal=accessKeyId='xxxxxxx' # kubectl -n cert-manager create secret generic alidns-access-key-secret --from-literal=accessKeySecret='xxxxxxx' ``` 我這裡用 `ClusterIssuer` 為例,建立 `letsencrypt-prod.yaml` 檔案 ``` # cat letsencrypt-prod.yaml ########################################################################## #Author: zisefeizhu #QQ: 2********0 #Date: 2020-08-10 #FileName: letsencrypt-prod.yaml #URL: https://www.cnblogs.com/zisefeizhu/ #Description: The test script #Copyright (C): 2020 All rights reserved ########################################################################### apiVersion: cert-manager.io/v1alpha2 kind: ClusterIssuer metadata: labels: name: letsencrypt-prod name: letsencrypt-prod # 自定義的簽發機構名稱,後面會引用 spec: acme: email: [email protected] # 你的郵箱,證書快過期的時候會郵件提醒,不過我們可以設定自動續期 solvers: - http01: ingress: class: nginx privateKeySecretRef: name: letsencrypt-prod # 指示此簽發機構的私鑰將要儲存到哪個 Secret 物件中 server: https://acme-v02.api.letsencrypt.org/directory # acme 協議的服務端,我們用Let's Encrypt ``` 讓我們看看acme協議的服務端資訊 ``` { "Dmrr3rQDHDQ": "https://community.letsencrypt.org/t/adding-random-entries-to-the-directory/33417", "keyChange": "https://acme-v02.api.letsencrypt.org/acme/key-change", "meta": { "caaIdentities": [ "letsencrypt.org" ], "termsOfService": "https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf", "website": "https://letsencrypt.org" }, "newAccount": "https://acme-v02.api.letsencrypt.org/acme/new-acct", "newNonce": "https://acme-v02.api.letsencrypt.org/acme/new-nonce", "newOrder": "https://acme-v02.api.letsencrypt.org/acme/new-order", "revokeCert": "https://acme-v02.api.letsencrypt.org/acme/revoke-cert" } ``` 應用 `yaml` ``` # kubectl apply -f letsencrypt-prod.yaml ``` 檢視狀態 ``` # kubectl get ClusterIssuer NAME READY AGE letsencrypt-prod True 1h ``` 至此,在kubernetes上利用 cert-manager 自動簽發 TLS 證書 理論上部署完畢,下面進行驗證! ## 驗證 在這裡我將提供兩種驗證方法:1. 手動簽發證書 2. 自動簽發證書 注意:這裡存在一個大坑,請留意! ### 手動簽發證書 ``` # cat test-manual-cert.yaml ########################################################################## #Author: zisefeizhu #QQ: 2********0 #Date: 2020-08-11 #FileName: test-manual-cert.yaml #URL: https://www.cnblogs.com/zisefeizhu/ #Description: The test script #Copyright (C): 2020 All rights reserved ########################################################################### apiVersion: cert-manager.io/v1alpha2 kind: Certificate metadata: name: test-monkeyrun-net-cert spec: secretName: tls-test-monkeyrun-net # 證書儲存的 secret 名 duration: 2160h # 90d renewBefore: 360h # 15d organization: - jetstack isCA: false keySize: 2048 keyAlgorithm: rsa keyEncoding: pkcs1 dnsNames: - test01.advance.realibox.com issuerRef: name: letsencrypt-prod kind: ClusterIssuer group: cert-manager.io # kubectl apply -f test-manual-cert.yaml certificate.cert-manager.io/test-monkeyrun-net-cert created ``` #### 大坑 預警:坑要來了!!! ``` # kubectl get certificate #檢查是否生成證書檔案 NAME READY SECRET AGE test-monkeyrun-net-cert False tls-test-monkeyrun-net 27s # # kubectl get certificate NAME READY SECRET AGE test-monkeyrun-net-cert False tls-test-monkeyrun-net 27s # kubectl describe certificate test-monkeyrun-net-cert #檢視詳情 Status: Conditions: Last Transition Time: 2020-08-11T02:53:06Z Message: Waiting for CertificateRequest "test-monkeyrun-net-cert-1270901994" to complete Reason: InProgress Status: False Type: Ready Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal Requested 40s cert-manager Created new CertificateRequest resource "test-monkeyrun-net-cert-1270901994" 這裡證書生成是失敗了的,原因:Waiting for CertificateRequest "test-monkeyrun-net-cert-1270901994" to complete 一直在請求,也就是說請求不到。這個問題從上週五就開始困擾著我。這也是個大坑,可看到的文件基本沒有講到 ``` #### 解決 檢視有關證書生成的元件落到的節點: ``` # kubectl get pods -n cert-manager -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES cert-manager-75856bb467-fr5zz 1/1 Running 0 18h 192.168.0.98 cn-shenzhen.172.16.0.123 cert-manager-cainjector-597f5b4768-jqsvp 1/1 Running 0 18h 192.168.0.101 cn-shenzhen.172.16.0.123 cert-manager-webhook-5c9f7b5f75-gnphd 1/1 Running 0 18h 192.168.0.99 cn-shenzhen.172.16.0.123 cert-manager-webhook-alidns-6b87bc8597-tc9pk 1/1 Running 2 17h 192.168.0.13 cn-shenzhen.172.16.0.122 ``` 發現它們落在不同的節點上,靈光一閃,想起來了一件事:https://www.cnblogs.com/zisefeizhu/p/13262239.html 或許這個問題和自處一樣呢?證書頒發者的pod與負載均衡器纏繞在不同的節點上,因此它無法通過入口與其自身進行通訊。有可能哦 登陸阿里雲看此kubernetes叢集的外部流量引入策略 ![image.png](https://cdn.nlark.com/yuque/0/2020/png/1143489/1597115629641-0aa5cc01-1c4a-4757-b12e-2a006189a77d.png) 還真是的呢?根據之前對externaltrafficpolicy 的原理性瞭解,我有90%的把握是此處的問題,改為cluster 注:為什麼我要在這裡 我要登陸aliyun 點選更改而不是用命令 匯出資源清單更改呢?這是因為阿里雲的託管k8s有坑,這裡如果用命令來改會導致nginx-ingress的lb的IP 也就是對外的公網IP發生變化,這樣你的域名就全失效了因為IP變了.... 這個需要固定IP 再次測試 ``` # kubectl delete -f test-manual-cert.yaml certificate.cert-manager.io "test-monkeyrun-net-cert" deleted # kubectl apply -f test-manual-cert.yaml certificate.cert-manager.io/test-monkeyrun-net-cert created # kubectl get certificate NAME READY SECRET AGE test-monkeyrun-net-cert True tls-test-monkeyrun-net 4s ```

相關推薦

阿里託管kubernetes利用 cert-manager 自動簽發 TLS 證書[]

## 前言 排錯的過程是痛苦的也是有趣的。 運維乃至IT,排錯能力是拉開人與人之間的重要差距。 本篇會記錄我的排錯之旅。 ### 由來 現如今我司所有業務都執行在阿里雲託管kubernetes環境上,因為前端需要對外訪問,所以需要對外域名,考慮申請https證書過於麻煩,所以希望藉助免費的工具自動生

阿里超算氣象應用WRF的集諦優化

作者:孫相徵彈性高效能運算(E-HPC,https://ehpc.console.aliyun.com/ )基於阿里雲基礎設施,為使用者提供公有云之上的HPC服務。除了提供計算資源環境,E-HPC還提供了很多獨立的功能模組,如作業管理、使用者管理、叢集命令執行等。其中,藉助集諦(CloudMetrics)模組

使用Navicat遠端連線阿里ECS伺服器的MySQL資料庫

一.必須給伺服器的安全組規則設定埠放行規則,在管理控制檯中設定;   之後填寫配置,授權物件是授權的IP,其中0.0.0.0/0為所有IP授權,之後儲存;   二.Navicat使用的配置 在編輯連線處,要配置SSH和常規兩項   在常規項填寫配置,主機

php/PHP 阿里OSS檔案

 一、封裝的upload方法能看懂就看 看不懂直接使用         1.支援base64和普通表單等檔案上傳方式(會自動判斷方式)         2.呼叫時候只需要傳入一個要上傳到阿

SpringBoot + 阿里OSS檔案傳服務

分享一個關於檔案上傳服務的專案 pom.xml檔案需要新增的依賴 <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>aliy

阿里伺服器ECSubuntu安裝nginx後預設站點頁面開啟錯誤,顯示無法訪問此網站

問題:在新買的阿里雲伺服器ECS上安裝nginx後開啟預設頁面失敗,如下圖所示。   系統環境:Ubuntu 16.04.4 LTS64版本。 步驟回顧: root使用者下執行命令 apt-get install nginx; 在瀏覽器輸入公網IP 解決:   阿里雲控

阿里Serverless Kubernetes通過Ingress提供7層服務訪問

簡介 在阿里雲Serverless Kubernetes叢集中,我們可以通過LoadBalancer Service對外提供四層服務訪問,同樣我們也可以通過Ingress來對外提供七層服務訪問,今天主要分享下如何在Serverless Kubernetes叢集中提供

阿里oss視訊傳 sts + 前端js分片

getToken.php檔案 <?php /** * Created by PhpStorm. * User: Administrator * Date: 2018/10/7 * Time: 13:12 */ class sysshop_sts_getToke

阿里 oss 視訊傳 sts+前端js分片

第一步 執行下面藍色程式碼的兩個類 獲取 AccessKeySecretAccessKeyIdSecurityToken 這3個引數(sts)返回的結果下面紅色的部分 {     "RequestId": "0548D3A8-CE25-454A-AD99-02B758C

阿里的nginx啟用TLS 1.3

自Nginx 1.13以來,已為TLSv1.3添加了支援,TLSv1.3是TLS協議的最新版本。根據您閱讀本文的時間,您可能正在執行舊版本的Nginx,目前還不支援TLS 1.3。在這種情況下,請考慮在容器中執行Nginx以獲取最新版本,或者從原始碼編譯Ngin

阿里 Serverless Kubernetes 服務上線_Kubernetes中文社群

根據雲原生基金會(CNCF)近日釋出的調查報告,中國公有云市場阿里雲佔據55%市佔率,穩坐國內龍頭。而在國內擁有高人氣的阿里雲,繼去年11月,宣佈要進軍Kubernetes服務之後,近日又再加碼新推服務,釋出了無伺服器Kubernetes叢集服務。 阿里雲所提供的Kubernetes服務,共有

tp5.1整合阿里OSS圖片

首先利用tp5composer機制去下載一個阿里雲oss的sdk composer require aliyuncs/oss-sdk-php 然後,去官方找些配置,在application同級目錄的config目錄裡面新建一個alioss.php的檔案,講配置資訊放進去向

tp5 整合阿里OSS圖片

1.下載一個阿里雲oss的sdk  也可以到阿里雲 的OSS儲存裡面去下載 composer require aliyuncs/oss-sdk-php 2-去官方找些配置,在application同級目錄的config目錄裡面新建一個alioss.php的檔案,講配置資訊

全面提升,阿里Docker/Kubernetes(K8S) 日誌解決方案與選型對比

摘要: 今天,日誌服務再次升級Kubernetes(k8s)的日誌解決方案。1分鐘內即可完成整個叢集部署,支援動態擴容,提供採集宿主機日誌、容器日誌、容器stdout等所有資料來源的一站式採集。背景眾所周知,Docker很火,Docker中Kubernetes(

阿里centos7.3建立使用者以及配置Mysql

 阿里雲linux yum源配置1、備份mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup2、下載新的CentOS-Base.repo 到/etc/yum.repos.d

SpringBoot 整合阿里的OSS

#maven 匯入的包 <!--aliyunOSS--> <dependency> <groupId>com.aliyun.oss</groupId> <artifactId&

阿里linux centos7部署tomcat之後,外網無法訪問的問題解決

最終解決方案: 阿里雲上預設開方的介面中,是沒有8080的,我們需要使用http或者https預設的80或者443埠. (實際的情況也確實如此) 修改tomcat的配置檔案,改為使用80埠即可 [root@iZ2ze3gwewjw57q999cco6Z

阿里的centos7安裝mysql5.6的方法

阿里雲的商業化產品現在使用的不少,使用阿里雲的ECS安裝mysql就變得很普遍。今天來講一下在阿里雲的centos7上安裝mysql5.6的方法。 1 下載 下載完成之後檢視一下都有哪些mysql的檔案,使用命令: yum repoli

ssm專案部署到阿里輕量級伺服器

伺服器環境:ubuntu16 jdk:1.8.0_65 tomcat:8.0.3 (7.0也可以) 首先,為了方便操作,先安裝xshell,通過xshell連線到雲伺服器。 jdk環境變數配置 首先通過命令:getconf LONG_BIT  獲取到伺服器的系統是多

阿里Centos7伺服器安裝Docker

安裝Docker執行如下命令即可進行安裝:curl -fsSL https://get.docker.com/ | sh安裝完成之後會有一個提示:就是當要以非 root 使用者可以直接執行 docker