Вашият надежден партньор за уеб хостинг от 2008 г. Вземете VPS сега!
поддържа  +373 79 600002
Bulgarian Flag български
Влизам Регистрирай се
Support  +373 79 600002
Bulgarian Flag български
Регистрирай се Влизам
+373 79 600002
Вашият надежден партньор за уеб хостинг от 2008 г. Вземете VPS сега!
Изпробвайте уменията си за всички наши хостинг услуги и получете 15% отстъпка!

Използвайте код на касата:

Skills
17.01.2025
Администрация

Cert-Manager

Внедряване на Cert-Manager на AlexHost VPS за сигурен Kubernetes

Защо да използвате Cert-Manager в AlexHost? Cert-Manager автоматизира управлението на TLS сертификати в Kubernetes, като осигурява сигурна и криптирана комуникация. VPS на AlexHost с NVMe хранилище, root достъп и DDoS защита осигурява високопроизводителна и сигурна платформа за Kubernetes клъстери. Това ръководство обхваща функциите, настройката и случаите на използване на Cert-Manager в AlexHost.

Какво представлява Cert-Manager?

Cert-Manager е добавка с отворен код за Kubernetes, която автоматизира управлението и подновяването на TLS сертификати. Тя се интегрира безпроблемно с Kubernetes, за да издава сертификати за приложенията, работещи в клъстера, като премахва ръчните процеси, които обикновено се изискват за получаване и подновяване на сертификати. Cert-Manager може да издава сертификати от различни източници, включително Let’s Encrypt, HashiCorp Vault, Venafi и други частни удостоверителни органи (CA). Той непрекъснато следи сертификатите за изтичане на срока им на валидност и автоматично ги подновява, когато е необходимо, като гарантира, че услугите ви остават сигурни без ръчна намеса

Ключови характеристики на Cert-Manager

Cert-Manager предлага няколко ключови функции, които го правят безценен инструмент за потребителите на Kubernetes

  1. Автоматично издаване на сертификати: Cert-Manager автоматично генерира TLS сертификати въз основа на ресурси на Kubernetes като
    Ingress
    или
    Certificate
    потребителски ресурси. Това гарантира, че всички нови или актуализирани услуги във вашия клъстер са защитени с валидни сертификати.
  2. Подновяване на сертификата: Cert-Manager следи за изтичането на валидността на издадените сертификати и автоматично ги подновява преди изтичането им, като по този начин гарантира, че вашите приложения винаги имат валидни сертификати и се избягва престой.
  3. Поддръжка на множество удостоверителни органи: Cert-Manager поддържа различни удостоверяващи органи, включително Let’s Encrypt за безплатни, публични SSL сертификати, както и вътрешни или частни удостоверяващи органи, което ви дава гъвкавост при избора на начина на издаване на вашите сертификати.
  4. Кубернетична версия: Cert-Manager се интегрира с Kubernetes. Той използва персонализираните дефиниции на ресурси (CRD) на Kubernetes, за да дефинира заявки за сертификати, и управлява сертификатите като ресурси на Kubernetes.
  5. Предизвикателства, свързани с DNS-01 и HTTP-01: Cert-Manager поддържа множество видове предизвикателства ACME (като DNS-01 и HTTP-01) за проверка на собствеността на домейна при използване на CA като Let’s Encrypt. Тези методи автоматизират процеса на проверка, като правят издаването на сертификати безпроблемно.
  6. Диви карти и сертификати за няколко домейна: Cert-Manager може да издава сертификати с подредба (wildcard), които са полезни за защита на множество поддомейни с един сертификат, и може да обработва сертификати за множество домейни, като по този начин опростява управлението на сложни приложения.

Как работи Cert-Manager

Cert-Manager работи, като взаимодейства с ресурсите на Kubernetes и външните органи за издаване на сертификати, за да управлява сертификатите през целия им жизнен цикъл. Ето общ преглед на процеса

  1. Заявка за сертификат: Cert-Manager използва ресурс на Kubernetes, наречен Certificate или Ingress ресурс, за да поиска сертификат. Тези ресурси съдържат детайли като имената на домейни, които ще покрива сертификатът, продължителността на сертификата и издателя.
  2. Издаване на сертификата: Cert-Manager взаимодейства с конфигуриран ресурс Issuer или ClusterIssuer, за да поиска сертификат от CA. Издателят може да бъде Let’s Encrypt, частен CA или друг поддържан доставчик на сертификати.
  3. Потвърждаване (предизвикателства на ACME): Ако използвате ACME CA като Let’s Encrypt, Cert-Manager ще реши предизвикателство за доказване на собствеността на домейна. Това може да бъде предизвикателство HTTP-01 (чрез подаване на токън по HTTP) или предизвикателство DNS-01 (чрез създаване на DNS TXT запис). След като бъде потвърдено, CA издава сертификата.
  4. Съхраняване на сертификата: Издаденият сертификат се съхранява в тайна на Kubernetes, към която могат да се правят препратки от други ресурси на Kubernetes (например Ingress), за да се активира TLS за вашите приложения.
  5. Наблюдение и подновяване: Cert-Manager следи непрекъснато сертификатите и автоматично ги подновява преди изтичането им, като гарантира, че услугите ви ще останат сигурни без прекъсване.

Компоненти на Cert-Manager

Cert-Manager се състои от няколко основни компонента, които работят заедно, за да се справят с управлението на сертификати в рамките на Kubernetes

  • Issuer/ClusterIssuer: Тези ресурси определят как и къде Cert-Manager да изисква сертификати. Issuer е с обхват на пространството от имена, докато ClusterIssuer е с обхват на целия клъстер. Те предоставят подробности за конфигурацията за взаимодействие с желания CA.
  • Сертификат: Ресурсът Certificate определя конкретния TLS сертификат, който Cert-Manager трябва да поиска. Той включва детайли като име(на) на домейн, продължителност и свързан Issuer.
  • CertificateRequest (Заявка за сертификат): Cert-Manager използва ресурс CertificateRequest, за да проследи конкретна заявка за сертификат. Този ресурс се създава автоматично от Cert-Manager, когато се иска нов сертификат.
  • Секрет: След като Cert-Manager получи сертификата от CA, той съхранява сертификата и частния ключ в Kubernetes Secret. След това тази тайна може да бъде посочена от приложенията или ресурсите на Ingress, за да се активира TLS.

Често срещани случаи на използване на Cert-Manager

Cert-Manager се използва широко в средите на Kubernetes за опростяване и автоматизиране на управлението на сертификати. Ето някои често срещани случаи на употреба

1. Защита на уеб приложения с HTTPS

Един от най-популярните случаи на използване на Cert-Manager е осигуряването на уеб приложения с HTTPS чрез използване на Let’s Encrypt за издаване на SSL сертификати. Cert-Manager може автоматично да издава и подновява сертификати за ресурсите на Kubernetes Ingress, като гарантира, че уеб трафикът е криптиран и сигурен

2. Автоматизиране на подновяването на сертификати

Ръчното управление на подновяванията на сертификати може да отнеме много време и да е податливо на човешки грешки. Cert-Manager автоматизира този процес, като следи датите на изтичане на сертификатите и ги подновява преди изтичането им, гарантирайки, че вашите услуги няма да страдат от прекъсване поради изтекли сертификати

3. Управление на вътрешни сертификати

В допълнение към публичните сертификати, Cert-Manager може да управлява сертификати, издадени от частни CA за вътрешни приложения. Например в архитектура на микроуслуги, където услугите комуникират вътрешно по защитена мрежа, Cert-Manager може да издава и завърта сертификати за вътрешна комуникация между услуги

4. Wildcard сертификати

За приложения, които използват множество поддомейни (напр. app.example.com, api.example.com), Cert-Manager може да издаде един-единствен сертификат с подреден знак (напр. *.example.com), за да защити всички поддомейни едновременно, като опрости управлението на сертификати

Инсталиране и конфигуриране на Cert-Manager

Инсталирането на Cert-Manager във вашия клъстер Kubernetes е лесно. По-долу са описани общите стъпки за инсталиране и конфигуриране на Cert-Manager

Стъпка 1: Инсталиране на Cert-Manager

Можете да инсталирате Cert-Manager с помощта на Helm или чрез статични YAML манифести. Ето метода за инсталиране на Helm

kubectl apply --validate=false -f https://github.com/cert-manager/cert-manager/releases/download/vX.Y.Z/cert-manager.crds.yaml
helm repo add jetstack https://charts.jetstack.io
helm repo update
helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --version vX.Y.Z
Заместете vX.Y.Z с най-новата версия на Cert-Manager

Стъпка 2: Конфигуриране на Issuer или ClusterIssuer

За да издавате сертификати, ще трябва да конфигурирате Issuer или ClusterIssuer. Например, за да конфигурирате Issuer за Let’s Encrypt, можете да създадете YAML конфигурация по следния начин

apiVersion:cert-manager.io/v1
kind: ClusterIssuer
metadata:name: letsencrypt-prod
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: your-email@example.com
privateKeySecretRef:
name: letsencrypt-prod
solvers:
- http01:
ingress:
class: nginx

Стъпка 3: Заявяване на сертификат

След като сте конфигурирали своя Issuer, можете да създадете ресурс Certificate, за да поискате TLS сертификат за вашето приложение

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: example-tls
namespace: default
spec:
secretName: example-tls-secret
issuerRef:
name: letsencrypt-prod
kind: ClusterIssuer
commonName: example.com
dnsNames:
- example.com
- www.example.com

Заключение: Защитете безпроблемно своя клъстер Kubernetes с Cert-Manager на AlexHost VPS

Cert-Manager автоматизира управлението на TLS сертификати, като осигурява сигурни Kubernetes приложения с минимални усилия. Разположете го на VPS на AlexHost за бързо издаване на сертификати, задвижвано от NVMe и поддържано от root достъп.

Изпробвайте уменията си за всички наши хостинг услуги и получете 15% отстъпка!

Използвайте код на касата:

Skills