Choerodon证书管理终端cert-manager部署和测试

Choerodon将在0.10版本开始支持证书管理,支持自己导入证书和直接通过letsenscrypt申请证书,当然如果需要申请证书,您的域名应该正确解析到业务集群(注意是业务集群哦,也就是您运行着choerodon-agent的集群)。choerodon通过cert-manager申请证书,同时对cert-manager进行扩展支持导入证书。

choerodon定制了cert-manager也就意味着不能直接用官方的cert-manager了,在choerodon对外发布的helm chart中有cert-manager的包,我们直接使用这个

  • 首先添加 helm repo
helm repo add c7n https://openchart.choerodon.com.cn/choerodon/c7n/
helm repo update
  • 安装cert-manager
$ helm install c7n/cert-manager --version 0.1.0 --name cert-manager --namespace kube-system

如果安装失败查看下是不是以前有装过cert-manager,删除冲突的CRD,重新部署

安装完成之后可以看到cert-manager启动起来了,cert-manager需要通过issuer指定申请证书的地址,这里我们创建两个clusterissuer,一个用来申请证书,一个用来导入证书,记得把email改成自己的

  • 创建clusterissuer
cat <<"EOF" | kubectl apply -f - 
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: choerodon@vk.vu
    privateKeySecretRef:
      name: letsencrypt-prod
    http01: {}
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: localhost
spec:
  acme:
    server: https://acme-staging.api.letsencrypt.org/directory
    email: choerodon@vk.vu
    privateKeySecretRef:
      name: localhost
    http01: {}
EOF
  • 查看下是否创建成功
$ kubectl get clusterissuer

NAME               AGE
letsencrypt-prod   3m
localhost          10s

至此cert-manager的安装就结束了,下面测试一下

打开choerodon平台,选择部署流水线->证书->创建证书,填入自己业务集群的一个域名,点击创建,等待一会可以发现证书已经申请成功。有效期还剩89天。

IMG

VinkDong

open to open