Kubespray项目中Cert-Manager的安装与配置指南

于 2025-06-02 09:03:58 发布
阅读量275 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00332/article/details/148375407
版权

Kubespray项目中Cert-Manager的安装与配置指南

kubespray kubespray 项目地址: https://gitcode.com/gh_mirrors/kub/kubespray

前言

在现代Kubernetes集群中,证书管理是一个至关重要的环节。本文将详细介绍如何在Kubespray项目中配置和使用Cert-Manager,这是一个强大的Kubernetes原生证书管理控制器,能够自动化证书的颁发和续订过程。

Cert-Manager简介

Cert-Manager是Kubernetes生态系统中一个非常重要的证书管理工具,它能够:

  1. 从多种来源颁发证书(包括Let's Encrypt、HashiCorp Vault等)
  2. 自动确保证书的有效性
  3. 在证书到期前自动续订
  4. 简化TLS证书的管理流程

安装Cert-Manager

在Kubespray项目中启用Cert-Manager非常简单,只需修改集群的addons配置文件:

  1. 找到inventory/sample/group_vars/k8s_cluster/addons.yml文件
  2. 设置cert_manager_enabled为true
# Cert manager部署配置
cert_manager_enabled: true

配置TLS根CA证书

要使用Cert-Manager保护Ingress资源,首先需要创建并部署Kubernetes的ca-key-pair密钥,包含根CA证书和密钥。

创建根CA证书的步骤

1. 安装CFSSL工具

在Ubuntu/Debian系统上:

sudo apt-get install -y golang-cfssl
2. 创建CA配置文件
{
  "signing": {
    "default": {
      "expiry": "8760h"  # 默认1年有效期
    },
    "profiles": {
      "kubernetes": {
        "usages": ["signing", "key encipherment", "server auth", "client auth"],
        "expiry": "8760h"
      }
    }
  }
}
3. 创建CSR配置文件
{
  "CN": "Kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "US",
      "L": "Portland",
      "O": "Kubernetes",
      "OU": "CA",
      "ST": "Oregon"
    }
  ]
}
4. 生成根CA证书和密钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

这将生成ca.pem(证书)和ca-key.pem(私钥)两个文件。

保护Ingress资源

Cert-Manager的一个常见用例是为Ingress资源请求TLS签名证书。以下是配置步骤:

1. 启用Nginx Ingress控制器

addons.yml中设置:

# Nginx ingress控制器部署
ingress_nginx_enabled: true

2. 配置Ingress资源示例

以下是为Prometheus配置安全Ingress的示例:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: prometheus-k8s
  namespace: monitoring
  annotations:
    kubernetes.io/ingress.class: "nginx"
    cert-manager.io/cluster-issuer: "ca-issuer"
spec:
  tls:
  - hosts:
    - prometheus.example.com
    secretName: prometheus-dashboard-certs
  rules:
  - host: prometheus.example.com
    http:
      paths:
      - path: /
        backend:
          service:
            name: prometheus-k8s
            port:
              name: web

配置完成后,Cert-Manager将每3个月自动轮换Prometheus的TLS客户端证书和密钥。

ACME配置

ACME(自动证书管理环境)是一种常用的证书颁发协议,Let's Encrypt就是基于此协议的服务。Cert-Manager支持ACME协议,可以自动获取和更新证书。

内部CA的ACME配置

如果需要使用内部证书颁发机构,需要在addons.yml中添加信任的CA证书:

cert_manager_trusted_internal_ca: |
  -----BEGIN CERTIFICATE-----
  [你的CA证书内容]
  -----END CERTIFICATE-----

最佳实践

  1. 证书有效期:生产环境中建议设置合理的证书有效期,平衡安全性和管理成本
  2. 密钥强度:使用至少2048位的RSA密钥或等效的ECDSA密钥
  3. 证书轮换:利用Cert-Manager的自动轮换功能,确保证书及时更新
  4. 监控:设置监控告警,确保证书颁发和续订过程正常

总结

通过Kubespray集成Cert-Manager,可以大大简化Kubernetes集群中的证书管理流程。本文详细介绍了从安装配置到实际应用的完整流程,帮助您构建更加安全的Kubernetes环境。Cert-Manager的自动化特性不仅提高了安全性,还显著降低了运维复杂度。

kubespray kubespray 项目地址: https://gitcode.com/gh_mirrors/kub/kubespray

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

第67章:集群升级版本迁移最佳实践
上海交通大学电院毕业,现互联网大厂开发工程师
03-27 76
升级编排脚本开发自定义脚本协调升级流程处理特定环境的需求/bin/bash# 示例升级编排脚本# 1. 备份etcd# 2. 升级控制平面dosleep 60done# 3. 升级工作节点dosleep 30done# 4. 升级集群组件自定义控制器开发Kubernetes控制器管理升级实现自动化和自修复能力监控集成将升级过程监控系统集成自动检测和响应问题报告和通知生成升级报告和状态更新集成通知系统。
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2780
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
kubernetes运维之-cert-manager自动签发Lets Encrypt证书并通过Ingress实现https网站全自动管理
h5rehre的博客
04-12 2313
云原生时代web业务数量多,维护证书繁琐程度高,大多是重复劳动,如何解决复杂的证书管理疑难杂症?
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 1401
issuerclusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
helm 部署 cert-manager 实践
爱死亡机器人
07-19 1326
cert-manager 是一个 Kubernetes 上的证书管理控制器,它可以自动化证书签发和更新的过程。它使用了 Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及之相关的资源,如私钥和证书链。Cert-manager 支持多种证书颁发机构(CA),包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。
k8s 使用cert-manager证书管理自签
weixin_42562106的博客
01-20 1163
metadata:spec:tls:- hosts:rules:http:paths:- path: /backend:service:port:http:paths:- path: /backend:service:port:最后访问。
VMwareKubernetes融合手册:7个步骤实现无缝过渡
![VMwareKubernetes融合手册:7个步骤实现无缝过渡]...将VMwareKubernetes融合,不仅可以充分利用虚拟化的成熟技术,还能借助Kubernet
搭建k8s集群几个常用方法
NJUPTlizhifeng的博客
09-06 2894
常用方法总结
Kubernetes环境打造秘籍:遵循最佳实践,满足你的硬件需求
本文详细介绍了Kubernetes环境的基础知识,硬件规划配置,软件部署维护,安全加固最佳实践,以及通过案例分析和未来展望来展示Kubernetes环境的实际应用和潜在趋势。文章旨在为读者提供全面的Kubernete
k8s中cert-manager管理https证书
椰汁菠萝
02-02 1300
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
CertManager.rar
12-19
CertManager pfx 你可以使用自己的证书进行签名打包等一系列操作,由于自己的证书可以设置私钥,这样具有很高的安全性。 制作方法 1. 下载我提供的压缩包,解压到任意目录 创建一个自己签署的证书和一个私钥文件用到makecert工具 cd 定位到解压目录
二十一、K8s集群设置3-HTTPS-Cert-manager
tushanpeipei的博客
12-03 1434
一、Cert-manager原理 紧接着上个部分:https://blog.youkuaiyun.com/tushanpeipei/article/details/121369497?spm=1001.2014.3001.5501。我们已经实现了使用CFSSL的方式自己设置CA机构颁发证书。但是由于CA机构是自己产生的,非权威,也就是说无法受到访问者的认可。所以我们需要前往权威的CA机构去申请自己的证书。 Letsencrypt-CA是一家免费提供证书的CA机构,但是正式的时间只有90
Kubernetes 中自动管理 TLS 证书:cert-manager 指南
最新发布
gitblog_01199的博客
08-07 963
Kubernetes 中自动管理 TLS 证书:cert-manager 指南 cert-managerCert-Manager 是一个开源的证书管理工具,用于自动管理 TLS 证书和密钥。 * 自动化管理 TLS 证书和密钥、支持多种证书提供商和云原生应用程序。 * 有什么特点:支持多种证书提供商和云原生应用程序、自动化管理 TLS 证书和密钥。项目地址:https://gitcode.c...
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 370
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes中自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1308
cert-manager是基于ACME协议Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
cert-manager:为你的Kubernetes集群添加安全证书管理神器
gitblog_00062的博客
05-10 507
cert-manager:为你的Kubernetes集群添加安全证书管理神器 cert-managerCert-Manager 是一个开源的证书管理工具,用于自动管理 TLS 证书和密钥。 * 自动化管理 TLS 证书和密钥、支持多种证书提供商和云原生应用程序。 * 有什么特点:支持多种证书提供商和云原生应用程序、自动化管理 TLS 证书和密钥。项目地址:https://gitcode.co...
kubernetes中cert-manager使用http-01方式生成https证书
null
04-09 2717
说明 文章里用不用集群签发,但是同理 提前创建需要https的namespace 采用http-01方式生成https证书,所以域名可以填写子域名,但是不能填写泛域名 提前把要解析的域名映射解析到集群所在服务器上 如果有安全组需要开放80端口,CA机构只能通过80端口验证token(域名是否属于你) 可以用项目网关,不用集群网关这样有一个项目专门生成证书,然后复制到其他项目使用(本文用集群网关测试) 运行过程中自动产生的ingress和pod,会在证书生成后自动关闭消失。 安装cert-manager
如何安装 Kubernetes Cert-Manager配置 Let‘s Encrypt
学海无涯苦作舟的博客
01-10 871
Cert-Manager自动配置 Kubernetes 集群中的证书。它提供了一组自定义资源来颁发证书并将它们附加到服务。 最常见的用例之一是使用Let’s Encrypt 的SSL 证书保护 Web 应用程序和 API 。以下是如何将 Cert-Manager 添加到您的集群,设置 Let’s Encrypt 证书颁发者,并为通过Ingress公开的Pod获取证书。 安装证书管理器 Cert-Manager 最容易使用 Helm 安装。Helm 是一个 Kubernetes 包管理器,它允许您使用预构建.
Cert Manager
来啊 快活啊
09-10 1934
issuer privateKeySecretRef 自动生成的private key,填写一个名字即可 使用kubectl describe 查看对应的资源,可以看到创建成功否,以及失败的信息issuer cert order 等一层层的往下看,都有详细的出错信息; ACME Issuer type represents a single Account registered with th...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柏滢凝Wayne

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值