本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
設定外部憑證管理程式
貢獻者
建議變更
如果Kubernetes叢集中已存在憑證管理程式、您需要執行一些必要步驟、使Astra Control Center不會安裝自己的憑證管理程式。
步驟
-
確認您已安裝憑證管理程式:
kubectl get pods -A | grep 'cert-manager'
回應範例:
cert-manager essential-cert-manager-84446f49d5-sf2zd 1/1 Running 0 6d5h cert-manager essential-cert-manager-cainjector-66dc99cc56-9ldmt 1/1 Running 0 6d5h cert-manager essential-cert-manager-webhook-56b76db9cc-fjqrq 1/1 Running 0 6d5h
-
為建立憑證/金鑰配對
astraAddress
FQDN:openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt
回應範例:
Generating a 2048 bit RSA private key ..................+++ ........................................+++ writing new private key to 'tls.key'
-
使用先前產生的檔案建立秘密:
kubectl create secret tls selfsigned-tls --key tls.key --cert tls.crt -n <cert-manager-namespace>
回應範例:
secret/selfsigned-tls created
-
建立
ClusterIssuer
以下*確切*的檔案包含您的命名空間位置cert-manager
已安裝Pod:apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: astra-ca-clusterissuer namespace: <cert-manager-namespace> spec: ca: secretName: selfsigned-tls
kubectl apply -f ClusterIssuer.yaml
回應範例:
clusterissuer.cert-manager.io/astra-ca-clusterissuer created
-
確認
ClusterIssuer
已正確啟動。Ready
必須是True
在繼續之前:kubectl get ClusterIssuer
回應範例:
NAME READY AGE astra-ca-clusterissuer True 9s
-
完成 "Astra Control Center安裝程序"。有 "Astra Control Center叢集Yaml所需的組態步驟" 您可在其中變更CRD值、以表示外部安裝了憑證管理程式。您必須在安裝期間完成此步驟、Astra Control Center才能辨識外部憑證管理程式。