1. Toy模板网首页
  2. > Toy博客

k8s 使用cert-manager证书管理自签

8月前 作者:野猪佩挤 分类:Toy博客 阅读(66) 违法举报

这篇具有很好参考价值的文章主要介绍了k8s 使用cert-manager证书管理自签。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

个人建议使用安装更快,比helm快,还要等待安装crd

kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.13.3/cert-manager.yaml

#官网
https://cert-manager.io/docs/installation/kubectl/

#创建自签的ClusterIssuer
cat >  signing-custom.yaml <<-EOF
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: selfsigned-clusterissuer
spec:
  selfSigned: {}

---
#生成证书
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: java-selfsigned-ca
  namespace: cert-manager
spec:
  isCA: true
  commonName: java-selfsigned-ca
  secretName: java-selfsigned-secret # 生成的证书名
  duration: 360h
  privateKey:
    algorithm: ECDSA
    size: 256
  issuerRef:
    name: selfsigned-clusterissuer # 对应上面清单中创建的clusterissuer名称
    kind: ClusterIssuer
    group: cert-manager.io
---
#生成以这个证书作为CA的ClusterIssuer,其他证书由这个CA签发
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: my-ca-issuer
spec:
  ca:
    secretName: java-selfsigned-secret # 对应以上Certificate资源证书名
EOF

查看你的证书

kubectl get clusterissuers,certificate
kubectl -n cert-manager get secret

k8s 使用cert-manager证书管理自签,kubernetes,容器,云原生

手动签发ssl自签证书

cat > server-tls.yaml  <<-EOF
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: java-com
spec:
  secretName: java-tls
  duration: 12160h # 你想要的时间
  renewBefore: 3600h #
  subject:
    organizations:
      - jetstack
  commonName: abc.exchangs.top
  isCA: false
  privateKey:
    algorithm: RSA
    encoding: PKCS1
    size: 2048
  usages:
    - server auth
    - client auth
  dnsNames:
    - exchangs.top
    - abc.exchangs.top
  ipAddresses:
    - 192.168.0.53
  issuerRef:
    name: my-ca-issuer # 指定上面创建好的用于签名的CA
    kind: ClusterIssuer
    group: cert-manager.io
EOF

最后ingress

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: springboot-server
  #annotations:
    #cert-manager.io/cluster-issuer: "letsencrypt-prod"

spec:
  ingressClassName: nginx
  tls:
  - hosts:
    - abc.exchangs.top
    - bbc.exchangs.top
    secretName: java-tls
  rules:
  - host: abc.exchangs.top
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: springboot-server
            port:
              number: 8080
  - host: bbc.exchangs.top
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: springboot-server
            port:
              number: 8080

最后访问

curl -kivL -H 'Host: bbc.exchangs.top' 'https://192.168.0.53'

k8s 使用cert-manager证书管理自签,kubernetes,容器,云原生
k8s 使用cert-manager证书管理自签,kubernetes,容器,云原生

k8s 使用cert-manager证书管理自签,kubernetes,容器,云原生文章来源地址https://www.toymoban.com/news/detail-813693.html

到了这里,关于k8s 使用cert-manager证书管理自签的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • k8s证书更新,kubeadm安装的K8S证书过期后无法使用后证书更新方法

    k8s安装一年后证书显示过期。证书未自动续期。 以下操作需到所有master节点操作 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载对应的版本并且安装。

    2024年02月14日
    浏览(37)

  • 【菜鸡带你识证书】之K8S:CKA(Kubernetes管理员)

    证书特点:费用中等、难度适中、认可度高、热门行业。综合评定:性价比较高! 证书名称:CKA(Kubernetes管理员) 证书级别:中级 证书有效期:3年 培训需求:根据自身情况,但建议参加培训后再考取(没题库还是很难得)。 发证机构:由Linux基金会和云原生计算基金会(

    2024年04月11日
    浏览(37)

  • k8s集群证书过期后,如何更新k8s证书

    对于版本 1.21.5,这是我的解决方案: ssh 到主节点,然后在步骤 2 中检查证书。 运行这个命令: kubeadm certs check-expiration 并看到昨天所有的都过期了。 所有现有证书的备份: 要全部更新,请运行以下命令: kubeadm certs renew all Done renewing certificates. You must restart the kube-apiserver

    2024年02月11日
    浏览(37)
  • 【K8s】3# 使用kuboard管理K8s集群(NFS存储安装)

    【K8s】3# 使用kuboard管理K8s集群(NFS存储安装)

    最完整的学习文档莫过于官网:直达地址:Kuboard for K8S Kubernetes 对 Pod 进行调度时,以当时集群中各节点的可用资源作为主要依据,自动选择某一个可用的节点,并将 Pod 分配到该节点上。在这种情况下,Pod 中容器数据的持久化如果存储在所在节点的磁盘上,就会产生不可预

    2024年01月20日
    浏览(37)
  • K8S 证书详解(认证)

    K8S 证书详解(认证)

    在 Kube-apiserver 中提供了很多认证方式,其中最常用的就是 TLS 认证,当然也有 BootstrapToken,BasicAuth 认证等,只要有一个认证通过,那么 Kube-apiserver 即认为认证通过。下面就主要讲解 TLS 认证。 如果你是使用 kubeadm 安装的 Kubernetes, 则会自动生成集群所需的证书。但是如果是

    2024年02月08日
    浏览(39)

  • k8s组件证书续期

    K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。 证书过期后,执行kubectl命令会报如下错误: 执行命令: kubeadm certs check-expir

    2024年02月21日
    浏览(22)
  • K8S证书过期解决办法之替换证书

    K8S证书过期解决办法之替换证书

    目录 1 证书过期的情况 2 Kubernetes环境介绍 3 替换证书步骤 3.1 在master上查看各证书的过期时间 3.2 查看master(192.168.0.190)上kubelet证书列表 3.3  查看master(192.168.0.190)上kubelet证书的过期时间 3.4 查看node1和node2上kubelet证书的过期时间(同(2)) 3.5 备份相关证书文件的目录

    2024年02月15日
    浏览(31)
  • 如何使用装rancher安装k8s集群(k8s集群图形化管理工具)

    如何使用装rancher安装k8s集群(k8s集群图形化管理工具)

    kubernetes集群的图形化管理工具主要有以下几种: 1、 Kubernetes Dashborad: Kubernetes 官方提供的图形化工具 2、 Rancher: 目前比较主流的企业级kubernetes可视化管理工具 3、各个云厂商Kubernetes集成的管理器 4、 Kuboard: 国产开源Kubernetes可视化管理工具 本篇我们来学习 主流的企业级kube

    2024年02月11日
    浏览(29)
  • k8s证书100年到期

    k8s证书100年到期

    kubeadm 默认证书为一年,一年过期后,会导致 api service 不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 可以在初始化群集之前重新编译 kubeadm,证书有效期自动为 100 年;也可如下重新编译修改证书 目录 一、获取源码 二、修改证书有效期 三、编译kubeadm

    2024年02月02日
    浏览(31)

  • k8s集群证书过期解决

    问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2023-08-29 02:29:04 +0

    2024年02月11日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包