V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linuxsteam
V2EX  ›  Kubernetes

K8S 集群上公网域名的 SSL 证书 怎么自动续签呀?

  •  
  •   linuxsteam · 2023-02-22 11:09:59 +08:00 · 1858 次点击
    这是一个创建于 642 天前的主题,其中的信息可能已经有所发展或是发生改变。

    K8S 集群上公网域名的 SSL 证书是配置在集群外的 web 服务器上 还是集群内的 web 服务器上呀?

    我有两个思路

    1. K8S 暴露到集群外不用 SSL ,使用 Service 的 NodePort 暴露,集群外用 NGINX 反向代理(负载均衡里写集群里的所有公网 IP ) 这样 SSL 更新的套路使用 ACME.SH 就可以
    2. 直接用 K8S 的组件( Ingress ) Ingress 中配置的 SSL 用的 Secret 这玩意我不会自动更新。 网上搜索的 cert-manager 解决方案太复杂了 不知道这个是不是大家常用的解决方案
    15 条回复    2023-02-28 11:41:25 +08:00
    6IbA2bj5ip3tK49j
        1
    6IbA2bj5ip3tK49j  
       2023-02-22 11:18:10 +08:00
    方案 2 ,不复杂。
    foursevenlove
        2
    foursevenlove  
       2023-02-22 11:44:13 +08:00
    方案 2 手动改 secret
    liuxu
        3
    liuxu  
       2023-02-22 11:59:41 +08:00
    cert-manager 并不复杂,原理就是起一个 let's 的 pod 定期更新 Secret ,ingress 直接配置 annotations 配置 cluster-issuer ,其实也就是挂上那个 Secret
    fisherwei
        4
    fisherwei  
       2023-02-22 13:49:18 +08:00
    我们公司用的是方案 1 ,因为每个业务线、产品啥的都有自己的 k8s (还不止一套),而不是同一用一个。所以公司的大证书一般不会交给业务线,而是集中配置一个 ssl termination 。

    但是个别业务线的产品可能领导比较重视吧?他们会有单独申请的二级域名的证书。
    perfectlife
        5
    perfectlife  
       2023-02-22 14:06:37 +08:00
    方案二 用泛域名证书,到期更新一下
    xzysaber
        6
    xzysaber  
       2023-02-22 14:13:42 +08:00
    cert-manager 确实有点小复杂,主要是了解其中的资源对象和 ACME 。不过跑起来后就不怎么太关心了。需要注意域名服务商是否支持,不然需要自己写 webhook ,例如华为云。
    st2udio
        7
    st2udio  
       2023-02-22 14:35:48 +08:00
    cert-manager 用起来挺方便呀,部署好就完事了。自己创建证书,自动更新。很方便。
    MaxFang
        8
    MaxFang  
       2023-02-22 19:01:17 +08:00
    最近正在接触这块,码住!
    linuxsteam
        9
    linuxsteam  
    OP
       2023-02-22 19:53:47 +08:00
    @foursevenlove 3 个月一改 复杂啊
    linuxsteam
        10
    linuxsteam  
    OP
       2023-02-22 19:55:17 +08:00
    @liuxu 对小白来说 复杂啊 目测 除了 RABC 权限,还有自定义得 kind 类型,还有 webhook 我弄一遍了 又删除了
    linuxsteam
        11
    linuxsteam  
    OP
       2023-02-22 19:56:15 +08:00
    @xzysaber 按照官方得操作说明去操作 发现总有问题,然后 manifest 400 多 kb 怕出现问题了 自己都找不到
    Achilless
        12
    Achilless  
       2023-02-22 21:45:18 +08:00
    有点规模的公司一般都用 1 方案,专门的代理集群做 SSL 卸载
    BQsummer
        13
    BQsummer  
       2023-02-22 23:53:01 +08:00
    方案 1 ,因为业务稍微大点都会再套点东西,waf / alb 啥的
    centralpark
        14
    centralpark  
       2023-02-23 09:46:28 +08:00
    cert-manager 还复杂?这都嫌复杂还折腾的动 k8s 么……
    linuxsteam
        15
    linuxsteam  
    OP
       2023-02-28 11:41:25 +08:00
    @centralpark manifest 文件 400 多 kb 呢 我是写不出来,所以感觉复杂。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5632 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 09:12 · PVG 17:12 · LAX 01:12 · JFK 04:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.