Установка сертификата с помощью Let's Enсrypt
Прежде чем перейти к добавлению сертификата в кластер, ознакомьтесь с порядком действий на странице Как добавить сертификат.
Для создания сертификатов с помощью Let’s Enсrypt необходимо, чтобы ingress контроллер был доступен из сети Интернет. Для реализации этого требования должно выполняться хотя бы одно из следующих условий:
- Внешний балансировщик должен иметь белый (публичный) IP адрес;
- Должен быть указан белый (публичный) IP адрес для IngressVIP.
Сценарий добавления в кластер
Создать и установить сертификат в кластере с помощью Let’s Enсrypt
- Создайте YAML-файл acme-issuer.yaml с манифестом объекта ClusterIssuer.
Пример ClusterIssuer
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: <имя ресурса>
namespace: cert-manager
spec:
acme:
server: <ваше значение параметра>
email: <ваше значение параметра>
privateKeySecretRef:
name: <ваше значение параметра>
solvers:
- http01:
ingress:
class: nginx
| Параметр | Описание | Тип данных | Пример |
|---|---|---|---|
metadata.name |
Имя создаваемого ClusterIssuer | string | letsencrypt |
acme.server |
URL адрес сервера Let’s Enсrypt | string | https://acme-v02.api.letsencrypt.org/directory |
acme.email |
Email учетной записи Let’s Enсrypt | string | name@example.com |
acme.privateKeySecretRef.name |
Имя секрета, в котором будет сохранен автоматически ключ учетной записи | string | letsencrypt |
- Примените созданный манифест ClusterIssuer.
Команда
kubectl apply -f acme-issuer.yaml
- Присвойте секреты в системных сервисах.