发行说明
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
配置外部证书管理器
贡献者
建议更改
PDF
如果Kubernetes集群中已存在证书管理器、则需要执行一些前提步骤、以使Astra控制中心不会安装自己的证书管理器。
步骤
-
确认已安装证书管理器:
kubectl get pods -A | grep 'cert-manager'响应示例:
cert-manager essential-cert-manager-84446f49d5-sf2zd 1/1 Running 0 6d5h cert-manager essential-cert-manager-cainjector-66dc99cc56-9ldmt 1/1 Running 0 6d5h cert-manager essential-cert-manager-webhook-56b76db9cc-fjqrq 1/1 Running 0 6d5h
-
为创建证书/密钥对
astraAddressFQDN:openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt响应示例:
Generating a 2048 bit RSA private key ..................+++ ........................................+++ writing new private key to 'tls.key'
-
使用先前生成的文件创建密钥:
kubectl create secret tls selfsigned-tls --key tls.key --cert tls.crt -n <cert-manager-namespace>响应示例:
secret/selfsigned-tls created
-
创建
ClusterIssuer文件*精确*如下、但包含的命名空间位置cert-managerPod的安装:apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: astra-ca-clusterissuer namespace: <cert-manager-namespace> spec: ca: secretName: selfsigned-tlskubectl apply -f ClusterIssuer.yaml响应示例:
clusterissuer.cert-manager.io/astra-ca-clusterissuer created
-
验证是否已
ClusterIssuer已正确启动。Ready必须为True在继续操作之前:kubectl get ClusterIssuer响应示例:
NAME READY AGE astra-ca-clusterissuer True 9s
-
完成 "Astra 控制中心安装过程"。有一个 "Astra控制中心集群YAML的所需配置步骤" 其中、您可以更改CRD值以指示证书管理器是外部安装的。您必须在安装期间完成此步骤、以使Astra控制中心能够识别外部证书管理器。