开源域名证书工具 - cert-manager

最新推荐文章于 2025-12-02 11:40:51 发布
原创 最新推荐文章于 2025-12-02 11:40:51 发布 · 228 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #kubernetes #cert-manager #容器 #云原生

一、简介

        在 Kubernetes 中,HTTPS已经成为对外服务的标准要求,例如,上篇文章中介绍的开源CI&CD工具-Drone,在个人学习环境中使用域名https://drone.fzwtest.xyz/时,手动申请和更新证书既繁琐又容易出错。
        我们可以借助一些免费的自动化工具来简化这一过程。类似于在Linux服务器上使用certbot的方式,cert-manager是一个适用于Kubernetes的开源工具,支持通过ACME协议(如 Let’s Encrypt)自动签发免费证书,并可实现自动续期。本文将基于HTTP‑01验证方式,结合 Ingress‑NGINX控制器,演示完整的自动证书签发与续期流程。

二、关键概念


1.Issuer/ClusterIssuer

        用于定义证书的签发来源(如 Let’s Encrypt、Vault、自签)。 

2.Certificate

        用于声明需要签发的域名、密钥、Secret名称等信息。 

3.HTTP-01 & DNS-01

HTTP-01:通过自动、临时创建的Ingress暴露一个HTTP 路径 /.well-known/acme-challenge/… 给 Let’s Encrypt等验证。优点是配置简单,但不支持泛域名。 

DNS-01:通过在DNS提供商处自动添加TXT记录验证,支持泛域名但配置复杂。

三、组件介绍

1.cert-manager(核心控制器主进程)

        这是 cert-manager 的“大脑”,负责所有核心逻辑:

功能说明
监控 Issuer/ClusterIssuer当你创建Issuer/ClusterIssuer时,它负责创建对应的ACME客户端
监控Certificate检测证书是否存在、是否过期、是否需要续期
创建ACME Order/ChallengeACME协议核心步骤
自动处理续期默认提前 30 天开始续约
写入 Secret(TLS)ACME返回证书后写入Secret

2.cert-manager-cainjector(CA注入器)

        这个组件将CA根证书自动注入到相关资源中,场景包括:

  • ValidatingWebhookConfiguration(用于cert-manager自身)

  • MutatingWebhookConfiguration

  • CRD注释中的cert-manager.io/inject-ca-from

  • 在某些Issuer类型中,为内部CA自动注入trust chain

        由于cert-manager使用webhook校验CRD,如果不自动注入CA,K8S apiserver会拒绝无效证书的Webhook。

3.cert-manager-webhook(准入控制/校验器)

        该组件作用:

(1)CRD 准入校验(Validation)

(2)Mutation(自动填充默认值)

(3)提供cert-manager与API交互过程中所需的TLS服务


四、环境准备

        我在个人学习环境中做简单演示,环境是自建的K8S,也没有使用负载均衡,并且缺少一些安全控制措施(不适用于生产环境)

1.安装并运行ingress-nginx-controller

        按照官方文档安装ingress-nginx-controller,然后把网络模式设置为hostNetwork: true,直接监听443端口;并通过nodeSelector等参数把pod固定在某台node节点上。检查运行状态:

# kubectl get pod -n ingress-nginx 
NAME                                        READY   STATUS    RESTARTS      AGE
ingress-nginx-controller-75777c6945-sh86x   1/1     Running   9 (14h ago)   9d


# netstat -antlp  |grep 443
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      3713752/nginx: node1

2.配置域名解析

        以drone.fzwtest.xyz为例:

3.配置网络策略

        防火墙放行80端口:

五、配置部署

1.安装组件

        安装基本组件,比较简单:

# wget https://github.com/cert-manager/cert-manager/releases/latest/download/cert-manager.yaml

# vim cert-manager.yaml

# kubectl apply -f cert-manager.yaml

# kubectl get pod -n cert-manager
NAME                                      READY   STATUS    RESTARTS       AGE
cert-manager-6468fc8f56-67jwr             1/1     Running   0               12s
cert-manager-cainjector-7fd85dcc7-2nr7q   1/1     Running   0         15s
cert-manager-webhook-57df45f686-ggv7l     1/1     Running   1        17s

2.创建ClusterIssuer

        创建ClusterIssuer,指定从letsencrypt申请免费证书,并指定跟ingress-nginx-controller做集成:

# vim cluster-issuer.yaml

# kubectl apply -f cluster-issuer.yaml

# kubectl get clusterissuer
NAME               READY   AGE
letsencrypt-prod   True    178s

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    # Let's Encrypt服务器
    server: https://acme-v02.api.letsencrypt.org/directory
    email: xxxxx   # 邮箱,用于接收过期提醒等
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx    #你的Ingress Controller类型,这里我们用的nginx

3.创建ingress

        为测试域名创建一个Ingress,指定使用的ClusterIssuer以及自动生成的secret的名称:

# vim drone-ingress.yaml

# kubectl apply -f drone-ingress.yaml

# kubectl get ingress -n drone
NAME            CLASS   HOSTS               ADDRESS        PORTS     AGE
drone-ingress   nginx   drone.fzwtest.xyz   10.110.30.86   80, 443   145s

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: drone-ingress
  namespace: drone
  annotations:
    cert-manager.io/cluster-issuer: "letsencrypt-prod" 
    nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
spec:
  ingressClassName: nginx
  tls:
    - hosts:
        - drone.fzwtest.xyz
      secretName: drone-tlss
  rules:
    - host: drone.fzwtest.xyz
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: drone-server
                port:
                  number: 80

4.验证状态

        查看自动生成的CR资源和secret资源:

# kubectl -n drone get certificates
NAME         READY   SECRET       AGE
drone-tlss   True    drone-tlss   149s


# kubectl -n drone get certificaterequests 
NAME           APPROVED   DENIED   READY   ISSUER             REQUESTER                                         AGE
drone-tlss-1   True                True    letsencrypt-prod   system:serviceaccount:cert-manager:cert-manager   145s

# kubectl -n drone get secret
NAME         TYPE                DATA   AGE
drone-tlss   kubernetes.io/tls   2      151s

        访问域名,可以看到已经自动挂载了免费证书(虽然只有三个月有效期,但cert-manager会自动续签证书,不再需要手动做任何操作)。

Cert-ManagerKubernetes 集群中的证书管理利器
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
10-28 526
Cert-Manager 是一个开源云原生证书管理工具,专为 Kubernetes 和 OpenShift 设计。它将 X.509 证书管理转化为声明式的 Kubernetes 资源,使得证书管理变得简单和自动化。
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2930
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
cert-manager 是什么?一篇文章搞懂 Kubernetes 证书自动化管理
qq_62935472的博客
08-09 1390
本文介绍了cert-manager这一Kubernetes证书管理工具,它能够自动签发和续期TLS证书cert-manager支持多种证书颁发机构,包括Let's Encrypt、HashiCorp Vault等,并可将证书存储在Kubernetes Secret中供应用使用。文章详细讲解了cert-manager的核心架构、部署方式(YAML和Helm)以及使用自签名证书的实战案例,包括创建ClusterIssuer和生成CA根证书的具体步骤。通过cert-manager,用户可以实现证书的自动化管理。
k8s中使用cert-manager玩转证书
可可飞扬的博客
10-31 3735
证书管理工具 原文地址:https://cert-manager.readthedocs.io/en/latest/getting-started/1-configuring-helm.html helm-chart: https://github.com/helm/charts/tree/master/stable/cert-manager 转自: https://jeremy-xu.os...
Kubernetes 中自动管理 TLS 证书cert-manager 指南
gitblog_01199的博客
08-07 1046
Kubernetes 中自动管理 TLS 证书cert-manager 指南 【免费下载链接】cert-manager Cert-Manager 是一个开源证书管理工具,用于自动管理 TLS 证书和密钥。 * 自动化管理 TLS 证书和密钥、支持多种证书提供商和云原生应用程序。 * 有什么特点:支持多种证书提供商...
kubernetes运维之-cert-manager自动签发Lets Encrypt证书并通过Ingress实现https网站全自动管理
h5rehre的博客
04-12 2594
云原生时代web业务数量多,维护证书繁琐程度高,大多是重复劳动,如何解决复杂的证书管理疑难杂症?
k8s中级篇-cert-manager+Let‘s Encrypt自动证书签发
mldong的博客
05-12 6331
前言 说到免费的SSL证书,大家首先想到的肯定是Let’s Encrypt,而使用过Let’s Encrypt的同学应该也知道,其有效期只有三个月,三个月后要重新续期。github上也有类似的脚本可以做到自动续期。那如果是在k8s上使用该免费证书,又如何操作的呢?这里cert-manager就派上用场了。 环境 主机名 ip 角色 mldong01 192.168.0.245 master mldong02 192.168.0.54 node01 mldong03 192.168.0
kubernetescert-manager使用DNS-01方式生成https证书(腾讯云)
null
04-12 3329
说明 国内的DNS-01方式生成证书需要使用cert-manager的插件,因为cert-manager不支持国内的DNS厂商 本文使用的域名在腾讯云:dnspod dns-01方式支持泛域名解析https证书 查看支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/ 由于 cert-manager-webhook-dnspod 很久没有继续维护,chart 包已不兼容最新的 cert-manager 。本文内容中使用的 cert-
cert-manager.yaml
09-13
cert-manager是一个开源证书管理工具,由Jetstack公司开发,并得到了广泛的社区支持。它的主要功能是自动化管理TLS/SSL证书的生命周期,确保在集群中运行的应用和服务能够使用加密连接。 这份配置文件中通常会...
cert-manager-v0.6.7.tgz
08-03
总之,"cert-manager-v0.6.7.tgz"提供的工具Kubernetes环境中扮演着重要的角色,简化了证书管理流程,确保了服务的安全性。正确地安装和配置cert-manager,可以显著提升Kubernetes集群的自动化运维水平。
AI大模型:(二)1.7 阿里通义开源模型Z-Image-Turbo部署尝鲜
haylee的专栏
11-29 568
本文将部署尝鲜阿里发布Z-Turbo图像模型,仅6B参数实现16G设备秒级出图,支持中英双语,登顶HuggingFace双榜。提供3个版本:Z-Turbo(高效版)、Z-Base(基础版)和Z-Edit(图像编辑)。已发布Z-Turbo,可生成高质图像,如汉服少女、西安大雁塔夜景等,支持中文提示词生成,需16G显存设备运行。
Flutter 与开源鸿蒙(OpenHarmony)国际化、无障碍与合规开发实践:打造全球可用的可信应用
最新发布
2501_93573294的博客
12-02 506
Flutter 与开源鸿蒙(OpenHarmony)国际化、无障碍与合规开发实践:打造全球可用的可信应用
开源企业级报表系统SpringReport
2509_94107357的博客
11-30 627
在当今的数据驱动时代,无论是企业还是个人,都面临着大量的数据处理需求。传统的报表设计方法往往繁琐复杂,不仅需要编写大量代码,而且对于非技术人员来说,更是难以掌握。这导致了很多人在面对数据报表设计时感到无从下手。那么,有没有一种简单易用的软件,能够让用户无需编程就能设计出专业的报表呢?接下来给大家介绍一款开源的报表系统–SpringReport,可以让你无需编码就可以设计出自己想要的报表。
基于开源AI智能名片链动2+1模式S2B2C商城系统的生态微商运营研究
专注MarTech应用研究与实施方案
12-01 899
本文探讨了开源AI智能名片链动2+1模式S2B2C商城系统在生态微商运营中的应用。该系统通过整合供应链资源、利用社交裂变机制和AI智能推荐技术,为商户提供精准营销工具,同时优化用户体验。研究从商户端(供应链管理、商家赋能)和客户端(用户引流、体验优化)两个维度分析运营策略,并通过美妆品牌案例验证其有效性。结果表明,该系统能显著提升品牌知名度、销售业绩和用户忠诚度。未来生态微商发展需持续创新运营模式,以适应市场变化。
【Day7-10】开源鸿蒙组件封装实战(3)仿知乎日报的首页轮播图实现
2401_84972713的博客
11-29 521
本文介绍了在HarmonyOS NEXT中实现仿知乎日报首页轮播图的方法。主要使用PageSlider组件作为基础,结合PageSliderProvider和PageSliderController实现动态数据绑定与控制。文章详细阐述了数据模型定义、布局文件实现、轮播逻辑封装等关键步骤,包括自动轮播控制、指示器实现和点击事件处理。同时提供了性能优化建议,如使用ImageCache管理图片加载、页面不可见时停止自动轮播等。通过完整的示例代码结构,展示了如何构建带自动轮播、指示器和点击跳转功能的轮播图组件,为H
大疆开源的MQTT交互的SDK包下载地址和接口文档地址
专注最新最热的AI知识学习,以实战方式总结心得。
12-01 276
为了帮助您快速获取大疆无人机MQTT交互相关的开发资源,我整理了以下官方及社区资料链接。这些资源主要围绕大疆的,它正是通过MQTT等标准协议将无人机能力抽象为物联网设备物模型的核心方案。下表汇总了核心的SDK示例代码库和官方文档地址,方便您直接取用。
精致简约!一款优雅的开源云盘系统!
weixin_43400476的博客
11-28 317
tank —— 蓝眼云盘,一个优雅、好用、高效的开源云盘系统。无论是个人日常文件管理,还是团队协作中的文件共享,它都能轻松应对。
开源 vs 商业:主流AI生态概览——从PyTorch到OpenAI的技术格局之争
已掌握java全栈,简单的java项目逻辑。目前正在学习鸿蒙开发,有兴趣的小伙伴可以一起学习!!!
11-29 791
在人工智能迅猛发展的今天,开发者和企业面临一个关键选择:是拥抱开放协作的开源生态,还是依赖高效便捷的商业平台?TensorFlow、PyTorch、Hugging Face、OpenAI……这些名字不仅代表技术框架,更象征着两种截然不同的AI发展哲学。本文将深入对比主流AI平台,解析它们在技术、社区、商业模式与未来方向上的异同,助你做出更明智的技术选型。
MarTech在客户运营中的作用:以开源AI大模型AI智能名片S2B2C商城小程序为例
专注MarTech应用研究与实施方案
12-02 838
本文以开源AI大模型AI智能名片S2B2C商城小程序为例,探讨MarTech在客户运营中的应用。通过文献研究、案例分析和实地调研,研究发现MarTech通过用户画像构建、智能推荐、社交传播激励和数据整合等功能,显著提升了客户获取效率和营销精准度。某制造业出海企业应用案例显示,该模式使新增客户数提升45%,验证了MarTech在优化客户体验、实现精准营销方面的有效性。研究为企业在客户运营中应用MarTech提供了实践参考。
cert-manager: Kubernetes集群的自动SSL/TLS证书管理解决方案
cert-manager负责向指定的证书颁发机构发出请求,提交必要的信息,如域名验证信息等。 2. **证书续订:** cert-manager能够监视证书的有效期,并在证书即将到期前自动发起续订流程。这确保了证书不会因为过期而导致...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值