Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定外部憑證管理程式

貢獻者

如果Kubernetes叢集中已存在憑證管理程式、您需要執行一些必要步驟、使Astra Control Center不會安裝自己的憑證管理程式。

步驟
  1. 確認您已安裝憑證管理程式:

    kubectl get pods -A | grep 'cert-manager'

    回應範例:

    cert-manager   essential-cert-manager-84446f49d5-sf2zd              1/1     Running    0     6d5h
    cert-manager   essential-cert-manager-cainjector-66dc99cc56-9ldmt   1/1     Running    0     6d5h
    cert-manager   essential-cert-manager-webhook-56b76db9cc-fjqrq      1/1     Running    0     6d5h
  2. 為建立憑證/金鑰配對 astraAddress FQDN:

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt

    回應範例:

    Generating a 2048 bit RSA private key
    ..................+++
    ........................................+++
    writing new private key to 'tls.key'
  3. 使用先前產生的檔案建立秘密:

    kubectl create secret tls selfsigned-tls --key tls.key --cert tls.crt -n <cert-manager-namespace>

    回應範例:

    secret/selfsigned-tls created
  4. 建立 ClusterIssuer 以下*確切*的檔案包含您的命名空間位置 cert-manager 已安裝Pod:

    apiVersion: cert-manager.io/v1
    kind: ClusterIssuer
    metadata:
      name: astra-ca-clusterissuer
      namespace: <cert-manager-namespace>
    spec:
      ca:
        secretName: selfsigned-tls
    kubectl apply -f ClusterIssuer.yaml

    回應範例:

    clusterissuer.cert-manager.io/astra-ca-clusterissuer created
  5. 確認 ClusterIssuer 已正確啟動。 Ready 必須是 True 在繼續之前:

    kubectl get ClusterIssuer

    回應範例:

    NAME                     READY   AGE
    astra-ca-clusterissuer   True    9s
  6. 完成 "Astra Control Center安裝程序"。有 "Astra Control Center叢集Yaml所需的組態步驟" 您可在其中變更CRD值、以表示外部安裝了憑證管理程式。您必須在安裝期間完成此步驟、Astra Control Center才能辨識外部憑證管理程式。