【K8s】Kubernetes 证书管理工具 Cert-Manager

行者Sun19892024-10-24 11:23

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

目录

一、基本介绍

二、部署方法

三、使用方法

1、创建自签证书颁发者

2、创建自签证书

[3、创建 CA 证书](#3、创建 CA 证书)

[4、创建 CA 证书颁发者](#4、创建 CA 证书颁发者)

一、基本介绍

根据官方介绍,Cert-Manager 是一个开源的云原生证书管理(Cloud Native Certificate Management)工具,适用于 Kubernetes 和 OpenShift 的 X.509 证书管理。

Cert-Manager 通过 Kubernetes 的自定义资源定义(CRD)机制,将 TLS 证书视为一种资源,可以使用 Kubernetes API 进行管理。

Cert-Manager 的架构包括:

  • 控制层:负责管理证书,包括证书的创建、更新、删除等
  • 数据层:负责存储证书的相关数据,包括证书私钥、证书请求、证书颁发机构等

Cert-Manager 的核心功能包括:

  • 自动管理证书:Cert-Manager 可以自动化地管理 TLS 证书,无需人工干预,自动签发证书以及在证书过期前续期,避免了证书管理的复杂性和错误
  • 支持多供应商:Cert-Manager 支持从多个证书颁发机构申请证书,包括但不限于 Let's Encrypt、HashiCorp Vault、Venafi 等
  • 支持多种验证方法:Cert-Manager 支持多种域验证方式,包括 HTTP-01、DNS-01、TLS-SNI 等,以满足不同的环境和要求
  • 支持 Webhook:Cert-Manager 允许通过 Webhook 扩展来支持额外的验证方法和颁发者类型

Cert-Manager 整体架构

GitHub 地址:Cert-Manager | GitHub

官方文档:Cert-Manager | Documentation

二、部署方法

Cert-Manager 支持多种部署方式,本文以 kubectl apply 方式为例进行部署。

其他部署方式(如 Helm)的具体内容请参考官方文档。

bash 复制代码 
# 创建命令
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.16.1/cert-manager.yaml

🔔 Kubernetes 版本 >= v1.19.0
🔔 默认情况下,会自动创建 cert-manager 命名空间并安装到该命名空间中
🔔 部署后会创建很多 CRD 资源
🔔 部署后会创建 cert-manager、cert-manager-cainjector、cert-manager-webhook 三个组件
三、使用方法
1、创建自签证书颁发者
bash 复制代码 
# 创建对象
kubectl apply -f - <<EOF
---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: selfsigned-issuer
  namespace: default                 # 指定 Namespace
spec:
  selfSigned: {}

---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: selfsigned-cluster-issuer
spec:
  selfSigned: {}
EOF

🔔 Issuer 类型资源对象仅作用于集群内单个指定的命名空间
🔔 ClusterIssuer 类型资源对象可以作用于集群内所有的命名空间

# 查看对象
kubectl get issuer
kubectl get clusterissuer
2、创建自签证书
bash 复制代码 
# 创建对象
kubectl apply -f - <<EOF
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: selfsigned-cert
  namespace: default
spec:
  dnsNames:
  - example.com
  secretName: selfsigned-cert-tls
  issuerRef:
    name: selfsigned-issuer
EOF

🔔 会自动创建 selfsigned-cert 和 selfsigned-secret 对象

# 查看对象
kubectl get cert
kubectl get secret
3、创建 CA 证书
bash 复制代码 
# 前提条件:创建自签证书颁发者

# 创建 CA 证书对象
kubectl apply -f - <<EOF
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: ca-clusterissuer-cert
  namespace: default                 # 指定 namespace
spec:
  isCA: true
  commonName: demo_SelfsignedCa
  secretName: ca-clusterissuer-secret
  privateKey:
    algorithm: ECDSA
    size: 256
  issuerRef:
    name: selfsigned-cluster-issuer
    kind: ClusterIssuer
    group: cert-manager.io
EOF

# 查看 CA 证书对象
kubectl get cert
kubectl get secret
4、创建 CA 证书颁发者
bash 复制代码 
# 创建对象
kubectl apply -f - <<EOF
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ca-cluster-issuer
spec:
  ca:
    secretName: ca-clusterissuer-secret
EOF

# 查看对象
kubectl get clusterissuer
相关推荐
.生产的驴44 分钟前
Docker 部署Nexus仓库 搭建Maven私服仓库 公司内部仓库
java·运维·数据库·spring·docker·容器·maven
Ramseyuu1 小时前
Mybatis-plus
微服务·云原生·架构
搬砖的工人1 小时前
Docker环境下的Apache NiFi安装实践踩坑记录
docker·容器·apache
luck_me52 小时前
K8s 图形界面管理kubesphere
云原生·容器·kubernetes
QX_hao5 小时前
【docker】--镜像管理
运维·docker·容器
Auc245 小时前
OJ判题系统第6期之判题逻辑开发——设计思路、实现步骤、代码实现(策略模式)
java·开发语言·docker·容器·策略模式
快乐肚皮5 小时前
深入解析Docker:核心架构与最佳实践
java·运维·docker·容器
matrixlzp6 小时前
Nginx 源码安装成服务
nginx·云原生
上天_去_做颗惺星 EVE_BLUE8 小时前
Docker入门教程:常用命令与基础概念
linux·运维·macos·docker·容器·bash
alden_ygq9 小时前
Kubernetes容器运行时:Containerd vs Docker
docker·容器·kubernetes
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04DeepSeek各版本说明与优缺点分析05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07组基轨迹建模 GBTM的介绍与实现(Stata 或 R)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09苍穹外卖面试总结10YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU