我的书签
添加书签
移除书签本指南演示了如何使用 cert-manager 作为证书提供程序在 OSM 中管理和颁发证书。
先决条件
- Kubernetes 集群运行版本 v1.22.9 或者更高。
- 使用
kubectl与 API server 交互。 - 已安装
osm或者Helm 3命令行工具,用于安装 OSM 和 Contour。
演示
下面的演示使用 cert-manager 作为证书提供者,向 OSM 托管服务网格中的通过 Mutual TLS (mTLS) 通信的 curl 和 httpbin 应用颁发证书。
安装
cert-manager。演示中使用cert-manager v1.6.1。kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.6.1/cert-manager.yaml
确保 pod 已经启动并运行在
cert-manager命名空间下。kubectl get pod -n cert-managerNAME READY STATUS RESTARTS AGEcert-manager-55658cdf68-pdnzg 1/1 Running 0 2m33scert-manager-cainjector-967788869-prtjq 1/1 Running 0 2m33scert-manager-webhook-6668fbb57d-vzm4j 1/1 Running 0 2m33s
为
cert-manager配置颁发证书所需的cert-managerIssuer和Certificate资源。 这些资源必须和随后安装的 OSM 部署在同一个命名空间中。注意:必须先安装
cert-manager并保证 issuer 启动,随后将cert-manager作为证书提供者来安装 OSM。创建用于安装 OSM 的命名空间。
export osm_namespace=osm-system # Replace osm-system with the namespace where OSM is installedkubectl create namespace "$osm_namespace"
接下来,我们使用
SelfSigned的颁发者来引导自定义证书。这就会创建一个SelfSigned颁发者,颁发根证书,将其作为在网格中颁发的证书的CA颁发者# Create Issuer and Certificate resourceskubectl apply -f - <<EOFapiVersion: cert-manager.io/v1kind: Issuermetadata:name: selfsignednamespace: "$osm_namespace"spec:selfSigned: {}---apiVersion: cert-manager.io/v1kind: Certificatemetadata:name: osm-canamespace: "$osm_namespace"spec:isCA: trueduration: 87600h # 365 dayssecretName: osm-ca-bundlecommonName: osm-systemissuerRef:name: selfsignedkind: Issuergroup: cert-manager.io---apiVersion: cert-manager.io/v1kind: Issuermetadata:name: osm-canamespace: "$osm_namespace"spec:ca:secretName: osm-ca-bundleEOF
确保
cert-manager在 OSM 命名空间下创建了osm-ca-bundleCA secret。$ kubectl get secret osm-ca-bundle -n "$osm_namespace"NAME TYPE DATA AGEosm-ca-bundle kubernetes.io/tls 3 84s
OSM 在安装时将使用保存在这个 secret 中的 CA 证书来引导其证书提供者程序。
安装 OSM 时,指定其证书提供者为
cert-manager。osm install --set osm.certificateProvider.kind="cert-manager"
确保 OSM 控制面板 pod 启动并运行。
$ kubectl get pod -n "$osm_namespace"NAME READY STATUS RESTARTS AGEosm-bootstrap-7ddc6f9b85-k8ptp 1/1 Running 0 2m52sosm-controller-79b777889b-mqk4g 1/1 Running 0 2m52sosm-injector-5f96468fb7-p77ps 1/1 Running 0 2m52s
启用宽松流量策略模式来设置自动应用程序连接。
注意:这并不是使用
cert-manager时必须的配置,而是为了无需给应用连接配置明确的流量策略来简化演示。kubectl patch meshconfig osm-mesh-config -n "$osm_namespace" -p '{"spec":{"traffic":{"enablePermissiveTrafficPolicyMode":true}}}' --type=merge
将
httpbin命名空间纳入网格后,在该命名空间下部署httpbinservice 。这个 service 在14001端口上运行。# Create the httpbin namespacekubectl create namespace httpbin# Add the namespace to the meshosm namespace add httpbin# Deploy httpbin service in the httpbin namespacekubectl apply -f https://raw.githubusercontent.com/openservicemesh/osm-docs/release-v1.2/manifests/samples/httpbin/httpbin.yaml -n httpbin
确保
httpbinservice 和 pod 已经启动并运行。$ kubectl get svc -n httpbinNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEhttpbin ClusterIP 10.96.198.23 <none> 14001/TCP 20s
$ kubectl get pods -n httpbinNAME READY STATUS RESTARTS AGEhttpbin-5b8b94b9-lt2vs 2/2 Running 0 20s
将
curl命名空间纳入网格后,在该命名空间下部署curl客户端。# Create the curl namespacekubectl create namespace curl# Add the namespace to the meshosm namespace add curl# Deploy curl client in the curl namespacekubectl apply -f https://raw.githubusercontent.com/openservicemesh/osm-docs/release-v1.2/manifests/samples/curl/curl.yaml -n curl
确认
client客户端 pod 启动并运行。$ kubectl get pods -n curlNAME READY STATUS RESTARTS AGEcurl-54ccc6954c-9rlvp 2/2 Running 0 20s
确认
curl客户端可以访问httpbin的14001端口。$ kubectl exec -n curl -ti "$(kubectl get pod -n curl -l app=curl -o jsonpath='{.items[0].metadata.name}')" -c curl -- curl -I http://httpbin.httpbin:14001HTTP/1.1 200 OKserver: envoydate: Mon, 15 Mar 2021 22:45:23 GMTcontent-type: text/html; charset=utf-8content-length: 9593access-control-allow-origin: *access-control-allow-credentials: truex-envoy-upstream-service-time: 2
200 OK响应表明:来自curl客户端的请求,发送到httpbinservice 成功了。应用 sidecar 代理间的流量是加密的,并使用cert-manager证书提供者颁发的证书完成双向 TLS(mTLS)认证。
