TuxNet DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-wiki:kubernetes:cert-manager

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-wiki:kubernetes:cert-manager [2024/09/15 13:34] – angelegt markoit-wiki:kubernetes:cert-manager [2025/04/14 08:33] (aktuell) marko
Zeile 1: Zeile 1:
 ====== cert-manager für Kubernetes ====== ====== cert-manager für Kubernetes ======
 +[[cert-manager_mit_interner_pki|Den cert-manager für eine interne PKI konfigurieren]]
 +\\
 ===== Installieren des cert-managers ===== ===== Installieren des cert-managers =====
 **Erstellen des jetstack helm repo für den cert-manager** **Erstellen des jetstack helm repo für den cert-manager**
Zeile 8: Zeile 10:
 **Installation des cert-manager inklusive CRDs Support** **Installation des cert-manager inklusive CRDs Support**
 <code bash> <code bash>
-helm install cert-manager jetstack/cert-manager -n cert-manager --set installCRDs=true --create-namespace+helm install cert-manager jetstack/cert-manager -n cert-manager --set crds.enabled=true --create-namespace
 </code> </code>
  
Zeile 19: Zeile 21:
 Zu erst erstellen wir das Secret mit der CA und dem Secret Zu erst erstellen wir das Secret mit der CA und dem Secret
 <code bash> <code bash>
-kubectl -n cert-manager create secret generic tuxnet-ca --from-file=cert.pem --from-file=key.pem --dry-run=client -o yaml > tuxnetlan-ca.yml+kubectl -n cert-manager create secret generic tuxnet-ca --from-file=tls.crt --from-file=tls.key --dry-run=client -o yaml > tuxnetlan-ca.yml
 kubectl apply -f tuxnetlan-ca.yml kubectl apply -f tuxnetlan-ca.yml
 </code> </code>
Zeile 65: Zeile 67:
   dnsNames:   dnsNames:
     - pdftools.tuxnet.lan     - pdftools.tuxnet.lan
 +</code>
 +
 +===== Erstellen von Ingress Objekten =====
 +Wenn Sie wollen das die passenden Serverzertifikate automatisch erstellt werden, für zum Beispiel Ingress Controler, dann benötigen Sie ein Ingress Objekt Beschreibung mit passender Annotation.
 +<code yaml>
 +apiVersion: networking.k8s.io/v1
 +kind: Ingress
 +metadata:
 +  annotations:
 +      cert-manager.io/cluster-issuer: "tuxnetlan-clusterissuer"
 +  name: stirlingpdf
 +  namespace: stirlingpdf-production
 +spec:
 +  rules:
 +  - host: pdftools.tuxnet.lan
 +    http:
 +      paths:
 +      - backend:
 +          service:
 +            name: stirlingpdf
 +            port:
 +              number: 8080
 +        path: /
 +        pathType: Prefix
 +  tls:
 +  - hosts:
 +    - pdftools.tuxnet.lan
 +    secretName: pdftools-tls
 +</code>
 +
 +\\
 +===== Neuladen von Apps auf Kubernetes =====
 +Wir müssen die jeweilige Anwendung im Kubernetes Cluster jedes Mal neu laden, wenn sich das TLS Secret durch den cert-manager ändert.
 +
 +Darum kann sich zum Beispiel der Stakater Reloader kümmern. Der muss muss aber erstmal mittels Helm in unserem Cluster ausgerollt werden.
 +
 +<code bash>
 +$ helm repo add stakater https://stakater.github.io/stakater-charts
 +$ helm install application-reloader stakater/reloader -n cert-manager
 +</code>
 +
 +Um den automatischen Neustart des Pods mit Stakater Reloader zu ermöglichen, müssen wir das Deployment der jeweilige Anwendung mit ''secret.reloader.stakater.com/reload'' **annotieren**. Die Annotation sollte den Namen vom TLS Secret enthalten, der das Neuladen der Anwendung auslöst.
 +
 +<code yaml>
 +apiVersion: apps/v1
 +kind: Deployment
 +metadata:
 +  name: stirlingpdf
 +  annotations:
 +    secret.reloader.stakater.com/reload: "stirlingpdf-tls" 
 +spec:
 +[..]
 </code> </code>
it-wiki/kubernetes/cert-manager.1726407269.txt.gz · Zuletzt geändert: von marko