這是本文件的舊版!

K8s(rke) 內服務設定 SSL 憑證的方式

在一個使用 rke 建置好的 K8s 內, 設定使用 Let's Encrypt 產生的 SSL 憑證 讓裡面的服務 https 可以正確使用

基本處理步驟

  1. DNS 的設定
  2. 產生 SSL 憑證 : 參考 申請設定 Let's Encrypt 免費 SSL 憑證(CentOS + Apache/Nginx)
  3. 將憑證匯入 K8s 內 (建立 secret tls)
  4. 設定 K8s 使用 secret tls

Exp1. 以 *.ingress-devops.ichiayi.com 來設定為預設服務使用的 SSL 憑證

  1. 確認 DNS 已設定好 *.ingress-devops.ichiayi.com 

    rkeuser@pve-devops1:~$ ping ttt.ingress-devops.ichiayi.com
PING ttt.ingress-devops.ichiayi.com (172.16.0.190) 56(84) bytes of data.
64 bytes from iiiDevOps.unassigned-domain (172.16.0.190): icmp_seq=1 ttl=64 time=0.025 ms
64 bytes from iiiDevOps.unassigned-domain (172.16.0.190): icmp_seq=2 ttl=64 time=0.042 ms

  2. 透過 Let's Encrypt 產生 *.ingress-devops.ichiayi.com 憑證 

    sudo certbot \
 -d *.ingress-devops.ichiayi.com \
 --manual --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory

    產生的憑證檔(cert.pem privkey.pem)應該會出現在 /etc/letsencrypt/live/ingress-devops.ichiayi.com 內

  3. 將憑證匯入 K8s (建立 secret tls : ingress-wildcard-tls) 

    kubectl create secret tls ingress-wildcard-tls --cert=cert.pem --key=privkey.pem

  4. 設定 K8s 預設憑證為 ingress-wildcard-tls (RKE 安裝的 K8s + Rancher v2.4)
    1. 透過 Rancher Web admin 登入的管理介面
    2. cluster → System → Resources → Workloads 找到 nginx-ingress-controller → View/Edit YAML
    3. 加上指定預設憑證為 ingress-wildcard-tls :
  • tech/k8s_cert.1623196980.txt.gz
  • 上一次變更: 2021/06/09 08:03
  • jonathan