K8S 集群上公网域名的 SSL 证书 怎么自动续签呀?

2023-02-22 11:09:59 +08:00
 linuxsteam

K8S 集群上公网域名的 SSL 证书是配置在集群外的 web 服务器上 还是集群内的 web 服务器上呀?

我有两个思路

  1. K8S 暴露到集群外不用 SSL ,使用 Service 的 NodePort 暴露,集群外用 NGINX 反向代理(负载均衡里写集群里的所有公网 IP ) 这样 SSL 更新的套路使用 ACME.SH 就可以
  2. 直接用 K8S 的组件( Ingress ) Ingress 中配置的 SSL 用的 Secret 这玩意我不会自动更新。 网上搜索的 cert-manager 解决方案太复杂了 不知道这个是不是大家常用的解决方案
1684 次点击
所在节点    Kubernetes
15 条回复
xgfan
2023-02-22 11:18:10 +08:00
方案 2 ,不复杂。
foursevenlove
2023-02-22 11:44:13 +08:00
方案 2 手动改 secret
liuxu
2023-02-22 11:59:41 +08:00
cert-manager 并不复杂,原理就是起一个 let's 的 pod 定期更新 Secret ,ingress 直接配置 annotations 配置 cluster-issuer ,其实也就是挂上那个 Secret
fisherwei
2023-02-22 13:49:18 +08:00
我们公司用的是方案 1 ,因为每个业务线、产品啥的都有自己的 k8s (还不止一套),而不是同一用一个。所以公司的大证书一般不会交给业务线,而是集中配置一个 ssl termination 。

但是个别业务线的产品可能领导比较重视吧?他们会有单独申请的二级域名的证书。
perfectlife
2023-02-22 14:06:37 +08:00
方案二 用泛域名证书,到期更新一下
xzysaber
2023-02-22 14:13:42 +08:00
cert-manager 确实有点小复杂,主要是了解其中的资源对象和 ACME 。不过跑起来后就不怎么太关心了。需要注意域名服务商是否支持,不然需要自己写 webhook ,例如华为云。
st2udio
2023-02-22 14:35:48 +08:00
cert-manager 用起来挺方便呀,部署好就完事了。自己创建证书,自动更新。很方便。
MaxFang
2023-02-22 19:01:17 +08:00
最近正在接触这块,码住!
linuxsteam
2023-02-22 19:53:47 +08:00
@foursevenlove 3 个月一改 复杂啊
linuxsteam
2023-02-22 19:55:17 +08:00
@liuxu 对小白来说 复杂啊 目测 除了 RABC 权限,还有自定义得 kind 类型,还有 webhook 我弄一遍了 又删除了
linuxsteam
2023-02-22 19:56:15 +08:00
@xzysaber 按照官方得操作说明去操作 发现总有问题,然后 manifest 400 多 kb 怕出现问题了 自己都找不到
Achilless
2023-02-22 21:45:18 +08:00
有点规模的公司一般都用 1 方案,专门的代理集群做 SSL 卸载
BQsummer
2023-02-22 23:53:01 +08:00
方案 1 ,因为业务稍微大点都会再套点东西,waf / alb 啥的
centralpark
2023-02-23 09:46:28 +08:00
cert-manager 还复杂?这都嫌复杂还折腾的动 k8s 么……
linuxsteam
2023-02-28 11:41:25 +08:00
@centralpark manifest 文件 400 多 kb 呢 我是写不出来,所以感觉复杂。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/918176

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX