什么是 cert-manager
cert-manager(https://cert-manager.io/)是 Kubernetes 原生的证书管理控制器。它可以帮助从各种来源颁发证书,例如 Let's Encrypt,HashiCorp Vault,Venafi,简单的签名密钥对或自签名。它将确保证书有效并且是最新的,并在证书到期前尝试在配置的时间续订证书。它大致基于 kube-lego 的原理,并从其他类似项目(例如 kube-cert-manager)中借鉴了一些智慧。
准备工作
139.198.121.121 A kubesphere.io 139.198.121.121,我们将 staging.kubesphere.io 域名解析到了 139.198.121.121ks-console启用项目网关
登录 KubeSphere,进入任意一个企业空间下的项目中。
在 KubeSphere 中启用对应项目下的网关。
我们开启的是一个NodePort类型的网关,需要在集群外部使用 LoadBalancer 转发到网关的端口,将
139.198.121.121绑定到 LoadBalancer 上,这样我们就可以通过公网IP直接访问我们的服务了;
如果 Kubernetes 集群是在物理机上,可以安装 Porter(https://porter.kubesphere.io)负载均衡器对外暴露集群服务;
如果在公有云上,可以安装和配置公有云支持的负载均衡器插件,然后创建 LoadBalancer 类型的网关,填入公网IP对应的 eip,会自动创建好负载均衡器,并将端口转发到网关。
安装 cert-manager
详细安装文档可以参考 cert-manager。
cert-manager部署时会创建一个webhook来校验cert-manager相关对象是否符合格式,不过也会增加部署的复杂性。这里我们使用官方提供的一个no-webhook版本安装。
可以在 KubeSphere 右下角的工具箱中,打开 Web Kubectl。
在 Web Kubectl 执行下列命令安装 cert-manager:
# Install the CustomResourceDefinitions and cert-manager itself
kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v0.11.0/cert-manager-no-webhook.yaml
创建 Issuer
Issuer 是 cert-manager 中的概念,表示证书的签发者。在此实例中,我们使用免费的 letsencrypt 来获取TLS证书。
在 kubectl 中执行下面命令来创建一个kubesphere-system项目可用的 Issuer(注意修改项目和email信息)
kubectl -n kubesphere-system create -f -
