简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

配置外部证书管理器

02/06/2023 贡献者

PDF

如果Kubernetes集群中已存在证书管理器、则需要执行一些前提步骤、以使Astra控制中心不会安装自己的证书管理器。

步骤

确认已安装证书管理器：

kubectl get pods -A | grep 'cert-manager'

响应示例：

cert-manager   essential-cert-manager-84446f49d5-sf2zd              1/1     Running    0     6d5h
cert-manager   essential-cert-manager-cainjector-66dc99cc56-9ldmt   1/1     Running    0     6d5h
cert-manager   essential-cert-manager-webhook-56b76db9cc-fjqrq      1/1     Running    0     6d5h

为创建证书/密钥对 astraAddress FQDN：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt

响应示例：

Generating a 2048 bit RSA private key
..................+++
........................................+++
writing new private key to 'tls.key'

使用先前生成的文件创建密钥：

kubectl create secret tls selfsigned-tls --key tls.key --cert tls.crt -n <cert-manager-namespace>

响应示例：

secret/selfsigned-tls created

创建 ClusterIssuer 文件*精确*如下、但包含的命名空间位置 cert-manager Pod的安装：

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: astra-ca-clusterissuer
  namespace: <cert-manager-namespace>
spec:
  ca:
    secretName: selfsigned-tls

kubectl apply -f ClusterIssuer.yaml

响应示例：

clusterissuer.cert-manager.io/astra-ca-clusterissuer created

验证是否已 ClusterIssuer 已正确启动。 Ready 必须为 True 在继续操作之前：
```
kubectl get ClusterIssuer
```
Console
Copy
响应示例：
```
NAME                     READY   AGE
astra-ca-clusterissuer   True    9s
```
完成 "Astra 控制中心安装过程"。有一个 "Astra控制中心集群YAML的所需配置步骤" 其中、您可以更改CRD值以指示证书管理器是外部安装的。您必须在安装期间完成此步骤、以使Astra控制中心能够识别外部证书管理器。

配置外部证书管理器

Creating your file...