Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置外部证书管理器

贡献者

如果Kubernetes集群中已存在证书管理器、则需要执行一些前提步骤、以使Astra控制中心不会安装自己的证书管理器。

步骤
  1. 确认已安装证书管理器:

    kubectl get pods -A | grep 'cert-manager'

    响应示例:

    cert-manager   essential-cert-manager-84446f49d5-sf2zd              1/1     Running    0     6d5h
    cert-manager   essential-cert-manager-cainjector-66dc99cc56-9ldmt   1/1     Running    0     6d5h
    cert-manager   essential-cert-manager-webhook-56b76db9cc-fjqrq      1/1     Running    0     6d5h
  2. 为创建证书/密钥对 astraAddress FQDN:

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt

    响应示例:

    Generating a 2048 bit RSA private key
    ..................+++
    ........................................+++
    writing new private key to 'tls.key'
  3. 使用先前生成的文件创建密钥:

    kubectl create secret tls selfsigned-tls --key tls.key --cert tls.crt -n <cert-manager-namespace>

    响应示例:

    secret/selfsigned-tls created
  4. 创建 ClusterIssuer 文件*精确*如下、但包含的命名空间位置 cert-manager Pod的安装:

    apiVersion: cert-manager.io/v1
    kind: ClusterIssuer
    metadata:
      name: astra-ca-clusterissuer
      namespace: <cert-manager-namespace>
    spec:
      ca:
        secretName: selfsigned-tls
    kubectl apply -f ClusterIssuer.yaml

    响应示例:

    clusterissuer.cert-manager.io/astra-ca-clusterissuer created
  5. 验证是否已 ClusterIssuer 已正确启动。 Ready 必须为 True 在继续操作之前:

    kubectl get ClusterIssuer

    响应示例:

    NAME                     READY   AGE
    astra-ca-clusterissuer   True    9s
  6. 完成 "Astra 控制中心安装过程"。有一个 "Astra控制中心集群YAML的所需配置步骤" 其中、您可以更改CRD值以指示证书管理器是外部安装的。您必须在安装期间完成此步骤、以使Astra控制中心能够识别外部证书管理器。