这是一个创建于 635 天前的主题,其中的信息可能已经有所发展或是发生改变。
K8S 集群上公网域名的 SSL 证书是配置在集群外的 web 服务器上 还是集群内的 web 服务器上呀?
我有两个思路
- K8S 暴露到集群外不用 SSL ,使用 Service 的 NodePort 暴露,集群外用 NGINX 反向代理(负载均衡里写集群里的所有公网 IP ) 这样 SSL 更新的套路使用 ACME.SH 就可以
- 直接用 K8S 的组件( Ingress ) Ingress 中配置的 SSL 用的 Secret 这玩意我不会自动更新。 网上搜索的 cert-manager 解决方案太复杂了 不知道这个是不是大家常用的解决方案
 |
1
6IbA2bj5ip3tK49j 2023-02-22 11:18:10 +08:00
方案 2 ,不复杂。
|
 |
2
foursevenlove 2023-02-22 11:44:13 +08:00
方案 2 手动改 secret
|
 |
3
liuxu 2023-02-22 11:59:41 +08:00
cert-manager 并不复杂,原理就是起一个 let's 的 pod 定期更新 Secret ,ingress 直接配置 annotations 配置 cluster-issuer ,其实也就是挂上那个 Secret
|
 |
4
fisherwei 2023-02-22 13:49:18 +08:00
我们公司用的是方案 1 ,因为每个业务线、产品啥的都有自己的 k8s (还不止一套),而不是同一用一个。所以公司的大证书一般不会交给业务线,而是集中配置一个 ssl termination 。
但是个别业务线的产品可能领导比较重视吧?他们会有单独申请的二级域名的证书。 |
 |
5
perfectlife 2023-02-22 14:06:37 +08:00
方案二 用泛域名证书,到期更新一下
|
 |
6
xzysaber 2023-02-22 14:13:42 +08:00
cert-manager 确实有点小复杂,主要是了解其中的资源对象和 ACME 。不过跑起来后就不怎么太关心了。需要注意域名服务商是否支持,不然需要自己写 webhook ,例如华为云。
|
 |
7
st2udio 2023-02-22 14:35:48 +08:00
cert-manager 用起来挺方便呀,部署好就完事了。自己创建证书,自动更新。很方便。
|
 |
8
MaxFang 2023-02-22 19:01:17 +08:00
最近正在接触这块,码住!
|
 |
9
linuxsteam OP @foursevenlove 3 个月一改 复杂啊
|
|
10
linuxsteam OP @liuxu 对小白来说 复杂啊 目测 除了 RABC 权限,还有自定义得 kind 类型,还有 webhook 我弄一遍了 又删除了
|
|
11
linuxsteam OP @xzysaber 按照官方得操作说明去操作 发现总有问题,然后 manifest 400 多 kb 怕出现问题了 自己都找不到
|
 |
12
Achilless 2023-02-22 21:45:18 +08:00
有点规模的公司一般都用 1 方案,专门的代理集群做 SSL 卸载
|
 |
13
BQsummer 2023-02-22 23:53:01 +08:00
方案 1 ,因为业务稍微大点都会再套点东西,waf / alb 啥的
|
 |
14
centralpark 2023-02-23 09:46:28 +08:00
cert-manager 还复杂?这都嫌复杂还折腾的动 k8s 么……
|
|
15
linuxsteam OP @centralpark manifest 文件 400 多 kb 呢 我是写不出来,所以感觉复杂。。。
|
Select Language