Aws-cert-manager: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| Строка 19: | Строка 19: | ||
=<code>cert-manager</code>= |
=<code>cert-manager</code>= |
||
Для решения этой задачи существует <code>cert-manager</code> |
Для решения этой задачи существует <code>cert-manager</code> |
||
| + | <BR> |
||
| + | Примерный принцип работы (насколько я его понимаю) |
||
| + | * Установка в том чимсле создания <code>Custom Resource Definition</code> (далее <code>CRD</code>) |
||
| + | * Cоздается ресусурс типа <code>Issuer</code> или <code>ClusterIssuer</code> — описывает, откуда брать сертификаты |
||
| + | |||
| + | Создаёшь </code>Certificate</code>-ресурс — cert-manager следит за ним и выполняет выпуск. |
||
| + | cert-manager автоматически: |
||
| + | делает HTTP или DNS-проверку (чтобы подтвердить владение доменом), |
||
| + | получает сертификат от CA, |
||
| + | сохраняет в </code>Secret</code> в </code>namespace</code>, |
||
| + | продлевает его до истечения срока действия. |
||
| + | |||
==Установка== |
==Установка== |
||
Версия 15:13, 8 июня 2025
Для Ingress требуется автоматически выписывать сертефикаты для доменов которые "Хостятся" на нем
Предварительные требования
Требуется доступ (ручной или автоматический) к управлению зоной DNS для того что бы направить нужные домены на соответвующий Ingress
Возможные варианты решения
- Использовать независимое от cloud-провайдера решение, Let's encrypt.
- В завимсимости от того где лежит DNS-зона и как ей можно управлять, может требовать или не требовать ручной правкии зоны.
- В случае если зона хостится на AWS Route53 возможно применить например такую автоматизацию обновления зоны
- К плюсам можно отнести то что решение будет работать на любом клауде, не привязано к провайдеру.
- Использовать сертефикаты от AWS (это пока не реализовано)
cert-manager
Для решения этой задачи существует cert-manager
Примерный принцип работы (насколько я его понимаю)
- Установка в том чимсле создания
Custom Resource Definition(далееCRD) - Cоздается ресусурс типа
IssuerилиClusterIssuer— описывает, откуда брать сертификаты
Создаёшь Certificate-ресурс — cert-manager следит за ним и выполняет выпуск. cert-manager автоматически: делает HTTP или DNS-проверку (чтобы подтвердить владение доменом), получает сертификат от CA, сохраняет в Secret в namespace, продлевает его до истечения срока действия.
