Сертификат Kubernetes GoDaddy
Я пытаюсь применить SSL к моим кластерам kubernetes (производственная и промежуточная среда), но пока только на стадии подготовки. Я успешно установил cert-manager, и так как у меня есть 5 поддоменов, я хочу использовать подстановочные знаки, поэтому я хочу настроить его с помощью dns01. Проблема в том, что мы используем GoDaddy для управления DNS, но в настоящее время он не поддерживается (я думаю) cert-manager. Существует проблема ( https://github.com/jetstack/cert-manager/issues/1083), а также PR для поддержки этого, но мне было интересно, есть ли обходной путь для этого, чтобы использовать godaddy с cert-manager, так как нет большой активности на эту тему? Я хочу использовать ACME, чтобы я мог использовать шифрование для сертификатов.
Я довольно новичок в kubernetes, поэтому, если я что-то пропустил, дайте мне знать.
Можно ли использовать давайте шифровать с другими типами эмитентов, чем ACME? Есть ли другой способ, где я могу использовать GoDaddy DNS и давайте шифровать с помощью kubernetes?
На данный момент у меня нет никаких Ingresses, но только 2 службы, с которыми сталкиваются внешние. Один интерфейс и один API-шлюз в качестве сервисов LoadBalancer.
Заранее спасибо!
3 ответа
Да , безусловно, вы можете использовать cert-manager с k8s, и давайте зашифруем, также будет хорошо управлять сертификатом.
ACME имеет разные URL API для регистрации домена. оттуда вы также можете получить подстановочный знак * SSl для doamin.
Проще говоря, установите менеджер сертификатов и воспользуйтесь входным контроллером nginx, и с этим вы покончите. Вы должны добавить сертификат TLS для определения его на входном объекте.
Вы можете обратиться к этому руководству для настройки cert-manager и nginx ingress controller.
https://docs.cert-manager.io/en/venafi/tutorials/quick-start/index.html
Принятое решение работает — другой эмитент — это один из способов. Хотя, если вы хотите использовать эмитента ACME, вам придется решить проблемы. Это можно сделать с помощью решателя HTTP01 или решателя DNS01 . Если вы решите использовать решатель DNS01, вам понадобятся:
- чтобы перенести свой DNS-хостинг с GoDaddy на одного из поддерживаемых провайдеров .
- или вы можете попробовать использовать этого провайдера GoDaddy Webhook , о котором вы, возможно, уже знаете. Хотя я не могу гарантировать, что проект находится в рабочем состоянии.
Если вы хотите подключить общедоступные доверенные центры сертификации к Kubernetes через диспетчер сертификатов (например, GlobalSign, DigiCert, Entrust), вы можете использовать Venafi Cloud в качестве эмитента с диспетчером сертификатов для автоматизации продления сертификатов для Kubernetes. Venafi Cloud подключается к сторонним центрам сертификации и интегрируется с cert-manager. Venafi Cloud также имеет встроенный центр сертификации для частных доверенных сертификатов для внутренней инфраструктуры, такой как контейнеры.
Вот ссылки, которые имеют отношение к этой настройке: