我的书签
添加书签
移除书签cert-manager
cert-manager 是一种自动执行证书管理的工具, 它可以与 Istio Gateway 集成以管理 TLS 证书。
配置
查阅 cert-manager 安装文档来快速开始, 它无需特殊配置即可与 Istio 一起使用。
使用
Istio Gateway
cert-manager 可用于向 Kubernetes 写入 Secret 秘钥,Gateway 可以引用该秘钥。
首先,按照 cert-manager 颁发者文档配置
Issuer资源。Issuer是代表证书颁发机构(CA)的 Kubernetes 资源, 证书颁发机构能够通过尊重证书签名请求来生成签名证书。例如:Issuer可能如下所示:apiVersion: cert-manager.io/v1kind: Issuermetadata:name: ca-issuernamespace: istio-systemspec:ca:secretName: ca-key-pair
对于常见的发行者类型 ACME,创建一个 Pod 和服务来响应质询请求,以验证客户端是否拥有该域。 为了应对这些挑战,需要可以访问位于
http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>的端点。 该配置可能是特定于实现的。接下来,按照 cert-manager 文档 配置
Certificate资源。 应在与istio-ingressgateway部署相同的命名空间中创建Certificate。例如,Certificate可能如下所示:apiVersion: cert-manager.io/v1kind: Certificatemetadata:name: ingress-certnamespace: istio-systemspec:secretName: ingress-certcommonName: my.example.comdnsNames:- my.example.com...
一旦创建了
Certificate资源,我们就能在istio-system命名空间中看到创建的秘钥,接着就可以在 Gateway 的tls配置下的cresentialName字段中引用它:apiVersion: networking.istio.io/v1kind: Gatewaymetadata:name: gatewayspec:selector:istio: ingressgatewayservers:- port:number: 443name: httpsprotocol: HTTPStls:mode: SIMPLEcredentialName: ingress-cert # This should match the Certificate secretNamehosts:- my.example.com # This should match a DNS name in the Certificate
Kubernetes Ingress
cert-manager 通过 在 Ingress 对象上配置注解, 做到与 Kubernetes Ingress 的直接集成。如果使用此方法,则 Ingress 必须与 istio-ingressgateway Deployment 位于同一命名空间中,因为 Secret 只能在同一命名空间中被读取。
或者,也可以按照 Istio Gateway 部分的描述创建 Certificate,然后在 Ingress 对象中引用它:
apiVersion: networking.k8s.io/v1kind: Ingressmetadata:name: ingressannotations:kubernetes.io/ingress.class: istiospec:rules:- host: my.example.comhttp: ...tls:- hosts:- my.example.com # 这应该与证书中的 DNS 名称相匹配secretName: ingress-cert # 这应该与证书的 Secret 名称相匹配
