在阿里云 CLB 上使用 Let's Encrypt

2025 年 3 月 18 日
 abc950309

之前一直使用阿里云 K8S + CLB 来实现动态扩所容,降低成本。阿里云改了免费证书的策略,三个月就要换一遍证书,每次都要操作好多个 CLB 实例,十分头疼。证书管理还要另外交好几百,感觉做了冤大头。

写了这个脚本,只需要在 K8S 里加个 Cronjob ,就可以自动刷新 Let's Encrypt 的证书,并更新到 CLB 配置里了。再也不用给阿里云交冤枉钱了!

https://github.com/samuelncui/certbot-aliyun

各位大佬如果有其他的证书部署目标的话,也可以提 PR 。

2789 次点击
所在节点    云计算
14 条回复
privil
2025 年 3 月 18 日
Let's Encrypt 三个月操作一次,大部分人还是会买便宜的泛域名证书一年更换一次吧。
defunct9
2025 年 3 月 18 日
腾讯云和 AWS
sampeng
2025 年 3 月 18 日
@privil 早就是自动的了。

@abc950309 如果你是 k8s ,哪需要这么麻烦。cert-manager 全自动。我几十个域名都是全自动的。都不用管他。
Lockeysama
2025 年 3 月 18 日
额,有个 Cert Manager ,直接搞好,配 ingress 就行了。。
freemoon
2025 年 3 月 18 日
acme 不是自动更新吗
huangsen365
2025 年 3 月 19 日
用阿里云 ESA 边缘安全加速免费自动 ssl
jqknono
2025 年 3 月 19 日
阿里云 esa 使用 cname 托管不能申请泛域名证书,免费证书申请限制为 10 张,cname 域名限制为 100 个。可能不够用。
集群证书管理用 cert-manager 就好了
abc950309
2025 年 3 月 19 日
@privil 这个的目的就是自动更新 Let's Encrypt ,配上之后就可以通过 Aliyun 的 OpenAPI 自动更新 CLB 上的证书了。
abc950309
2025 年 3 月 19 日
@sampeng 这个处理的是外部流量接入 K8S 集群的问题。内部是 HTTP 裸跑的,外部需要最后加一下 HTTPS 。当时选用的是 CLB 来接入外部流量。
abc950309
2025 年 3 月 19 日
@huangsen365 这个看了下的确不错,之前 DCDN 回源太贵了,这个如果不限制次数可以试一下。
sampeng
2025 年 3 月 19 日
@abc950309 是你没理解。。clb 直接穿透 tcp 到 ingress 就好了。就没 clb 证书什么事了。简单有效。我所有环境都是 cert-manager 管理的免费证书
abc950309
2025 年 3 月 20 日
@sampeng 证书和域名管理都是耦合的,ingress 和这些混在一起,配置起来又要加一步了。如果单个域名还好,如果经常变动,感觉还是有点麻烦。
sampeng
2025 年 3 月 20 日
@abc950309 只有配置前时候麻烦。后期管理完全不用 care 证书的事。远比 clb 强太多了。
最后的效果是:

ingress 管理:所有的域名都是配置化管理在 git 里的。或者说 k8s 的。增删改查只需要改 ingress 的 yaml 就行了。
clb 混合 k8s 。你得 k8s 搞 ingress 路由,还得去 clb 加减域名。。

你是没碰到迁移的活。。只改一个地方是多香。只要一个通了所有就都好了。
bobawujh
2025 年 3 月 20 日
clb 自带 ssl 卸载 如果把 ssl 下放到应用服务器的话 那负载又得上升了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1119377

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX