nginx - 使用 DigitalOcean 在 Kubernetes 集群上为我的 Nginx-Ingress 生成通配符证书
问题描述
我遵循了这个 DigitalOcean 指南https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes,我遇到了一些事情很奇怪。在主机名中设置通配符时,letsencrypt
无法颁发新证书。而当我只设置定义的子域时,它可以完美地工作。
这是我对域及其 api 的“工作”配置(并且这个配置完美):
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- api.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
相反,这是我试图颁发的通配符证书,但这无法留下“正在颁发”的消息。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- *.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
唯一的区别是主机的第二行。有一个我不知道的微不足道的众所周知的解决方案吗?我是 Kubernetes 的新手,但不是 DevOps 的新手。
解决方案
cert-manager
使用( )生成通配符证书letsencrypt
需要使用DNS-01
挑战,而不是HTTP-01
在问题的链接中使用:
Let's Encrypt 是否颁发通配符证书?
是的。通配符发行必须通过 ACMEv2 使用 DNS-01 质询来完成。有关更多技术信息,请参阅此帖子。
有一个关于生成wildcard
证书的文档cert-manager
:
从DigialOcean的角度来看,有专门针对它的指南:
此提供程序使用 Kubernetes
Secret
资源来工作。在以下示例中,Secret
将必须命名并具有包含令牌digitalocean-dns
的子键。access-token
例如:apiVersion: v1 kind: Secret metadata: name: digitalocean-dns namespace: cert-manager data: # insert your DO access token here access-token: "base64 encoded access-token here"
访问令牌必须具有写入权限。
要创建个人访问令牌,请参阅DigitalOcean 文档。
方便的直接链接:https ://cloud.digitalocean.com/account/api/tokens/new
要将您的访问令牌编码为 base64,您可以使用以下命令
echo -n 'your-access-token' | base64 -w 0
apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: example-issuer spec: acme: ... solvers: - dns01: digitalocean: tokenSecretRef: name: digitalocean-dns key: access-token
我认为这些额外的资源也可以提供帮助:
推荐阅读
- php - 将几个参数正确传递给您的控制器
- jenkins - Jenkins 插件无法正确安装
- crash - Hyperledger Fabric - 如何在每次区块链网络测试后清除 DEV 环境?
- c# - 如何将特定的 Customer 对象与其自己的 Account 对象连接起来?
- asp.net - ASP.Net API 应用程序 - 持续的 HTTP 502.3 错误
- c# - C# linq DefaultIfEmpty() NullReferenceException 值不能为空。参数名称:来源
- python - 如何安装 PyCRC 模块?
- android - 未收到 Android BOOT_COMPLETE
- arrays - 计算大数组中用数字填充的行数
- python - Python 3.7 pip install - 系统找不到指定的路径