cert-manager
使用 cert-manager 管理 TLS 证书
本指南展示如何安装 cert-manager 进行 TLS 证书管理。 本指南假设您正在进行全新或全新的 MinIO Operator 安装。
Note
本指南使用自签名Cluster Issuer你也可以使用cert-manager 支持的其他签发者.
主要区别在于您必须提供IssuerCA 证书到 MinIO,而不是本指南中提到的 CA。
参考cert-manager 文档以及您自己组织对更高级配置的证书要求。
cert-manager 管理 Kubernetes 集群内的证书。 MinIO Operator 支持使用 cert-manager 来管理和配置证书,作为 MinIO Operator 为自身及其租户管理证书的替代方案。
cert-manager 从Issuer or ClusterIssuer并且可以在证书到期前自动续订。
A ClusterIssuer为多个命名空间颁发证书。Issuer仅为其自己的命名空间生成证书。
以下图表展示了 cert-manager 如何在 Kubernetes 集群的各个命名空间中提供证书。
A
ClusterIssuer存在于Kubernetes集群的根级别,通常是defaultnamespace,为所有其他命名空间提供证书。The
minio-operatornamespace 接收其自身的本地Issuer.每个租户的命名空间都会获得其专属的本地
Issuer.每个租户命名空间颁发的证书必须被 MinIO Operator 知晓并信任。
前提条件
kustomize已安装
kubectl访问您的k8s集群
设置 cert-manager
安装 cert-manager
以下命令使用版本 1.12.13 进行安装kubectl.
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.12.13/cert-manager.yaml
Release 1.12.X LTSis preferred, but you may install the latest version. For more details on installing cert-manager, see their安装说明.
为集群创建一个自签名的集群签发者(Cluster Issuer)
TheCluster Issuer是集群中所有其他证书派生的顶级签发机构。
通过创建证书管理器来请求生成此证书
ClusterIssuerresource.创建一个名为
selfsigned-root-clusterissuer.yaml包含以下内容:# selfsigned-root-clusterissuer.yaml apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: selfsigned-root spec: selfSigned: {}
将资源应用到集群:
kubectl apply -f selfsigned-root-clusterissuer.yaml
下一步
设置MinIO Operator 的 cert-manager.
