在 AKS 群集的应用程序网关上使用 Let's Encrypt 证书
可以将 Azure Kubernetes 服务 (AKS) 实例配置为使用 Let's Encrypt,并自动获取域的 TLS/SSL 证书。 该证书安装在应用程序网关上,后者会对 AKS 群集执行 TLS/SSL 终止操作。
本文介绍的设置使用了 cert-manager Kubernetes 加载项,该加载项可自动创建并管理证书。
安装加载项
请按以下步骤在现有的 AKS 群集上安装 cert-manager:
运行以下脚本以安装 cert-manager Helm 图表。 此脚本可执行以下操作:
- 在 AKS 群集上创建新的
cert-manager命名空间 - 创建以下自定义资源定义 (CRD):
Certificate、Challenge、ClusterIssuer、Issuer、Order - 安装 cert-manager 图表(来自 cert-manager 网站)
#!/bin/bash # Install the CustomResourceDefinition resources separately kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.10.1/cert-manager.crds.yaml # Create the namespace for cert-manager kubectl create namespace cert-manager # Label the cert-manager namespace to disable resource validation kubectl label namespace cert-manager cert-manager.io/disable-validation=true # Add the Jetstack Helm repository helm repo add jetstack https://charts.jetstack.io # Update your local Helm chart repository cache helm repo update # Install the cert-manager Helm chart # Helm v3+ helm install \ cert-manager jetstack/cert-manager \ --namespace cert-manager \ --version v1.10.1 \ # --set installCRDs=true # To automatically install and manage the CRDs as part of your Helm release, # you must add the --set installCRDs=true flag to your Helm installation command.- 在 AKS 群集上创建新的
请创建
ClusterIssuer资源。 Cert-manager 要求此资源代表颁发已签名证书的 Let's Encrypt 证书颁发机构。Cert-manager 使用非命名空间
ClusterIssuer资源颁发可从多个命名空间使用的证书。 Let's Encrypt 使用 ACME 协议来验证你是否控制特定的域名并颁发证书。 可以在 cert-manager 文档中获取有关配置ClusterIssuer属性的更多详细信息。ClusterIssuer指示 cert-manager 通过用于测试的 Let's Encrypt 过渡环境颁发证书。 (浏览器/客户端信任存储中不存在根证书。)在以下 YAML 中,默认的质询类型为
http01。 可以在 Let's Encrypt 文档中找到其他任务类型。在以下 YAML 中,请务必将
<YOUR.EMAIL@ADDRESS>替换为你的信息。#!/bin/bash kubectl apply -f - <<EOF apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: letsencrypt-staging spec: acme: # You must replace this email address with your own. # Let's Encrypt uses this to contact you about expiring # certificates, and issues related to your account. email: <YOUR.EMAIL@ADDRESS> # ACME server URL for Let's Encrypt's staging environment. # The staging environment won't issue trusted certificates but is # used to ensure that the verification process is working properly # before moving to production server: https://acme-staging-v02.api.letsencrypt.org/directory privateKeySecretRef: # Secret resource used to store the account's private key. name: example-issuer-account-key # Enable the HTTP-01 challenge provider # you prove ownership of a domain by ensuring that a particular # file is present at the domain solvers: - http01: ingress: ingressclassName: azure/application-gateway EOF请创建一项入口资源,以通过使用应用程序网关部署和 Lets Encrypt 证书来公开
guestbook应用程序。确保应用程序网关部署具有包含 DNS 名称的公共前端 IP 配置。 使用默认的
azure.com域或预配 Azure DNS 区域,然后分配自己的自定义域。 注释certmanager.k8s.io/cluster-issuer: letsencrypt-staging会告知 cert-manager 处理带标记的入口资源。在以下 YAML 中,请务必将
<PLACEHOLDERS.COM>替换为自己的域或应用程序网关域(例如,kh-aks-ingress.chinanorth2.chinacloudapp.cn)。kubectl apply -f - <<EOF apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: guestbook-letsencrypt-staging annotations: kubernetes.io/ingress.class: azure/application-gateway cert-manager.io/cluster-issuer: letsencrypt-staging spec: tls: - hosts: - <PLACEHOLDERS.COM> secretName: guestbook-secret-name rules: - host: <PLACEHOLDERS.COM> http: paths: - backend: serviceName: frontend servicePort: 80 EOF几秒钟后,可以通过将自动颁发的 Let's Encrypt 证书用于暂存来通过应用程序网关 HTTPS URL 访问
guestbook服务。浏览器可能会警告你证书颁发机构无效。 原因是
CN=Fake LE Intermediate X1颁发了暂存证书。 此警告表示系统已按预期运行,并且你已可以获取生产证书。成功设置暂存证书以后,可以切换到生产 ACME 服务器:
- 将入口资源上的暂存注释替换为
certmanager.k8s.io/cluster-issuer: letsencrypt-prod。 - 删除之前创建的现有暂存
ClusterIssuer资源。 通过将之前的ClusterIssuerYAML 中的 ACME 服务器替换为https://acme-v02.api.letsencrypt.org/directory来创建新的暂存资源。
- 将入口资源上的暂存注释替换为
在 Let's Encrypt 证书过期之前,cert-manager 会自动更新 Kubernetes 机密存储中的证书。 此时,应用程序网关入口控制器会应用其正在使用的入口资源中引用的已更新机密来配置应用程序网关。