在Istio Ingress上使用Letencrypt证书
我正在运行Istio 1.5,默认情况下默认情况下已启用SDS,并且正在尝试在我的EKS群集(v1.15)中的南北流量上启用TLS,并且我已执行以下操作:
- 按照以下步骤设置示例应用程序https://istio.io/latest/docs/setup/getting-started/
- 已安装证书管理器0.15.1
- 创建了集群发行人
- 配置集群发行人以通过将其与AWS Route53集成来尝试解决DNS挑战
- 使用群集颁发者生成证书并进行加密
- 按照此处的步骤使用在https://istio.io/latest/docs/tasks/traffic-management/ingress/secure-ingress/上方创建的证书配置网关和虚拟服务
- 我复制了letencrypt的根证书以通过curl命令传递
- 试图卷曲到负载均衡器的IP,但出现此错误
有人可以指导我如何解决此问题吗?
1 个答案:
答案 0 :(得分:1)
与{@ 3}集成有关cert-menager和istio。
cert-manager
配置
请咨询documentation以开始使用。无需特殊更改即可使用Istio。
用法
Istio网关 cert-manager可以用于向Kubernetes写入机密,然后网关可以引用它。首先,请按照cert-manager installation documentation配置证书资源。证书应在与istio-ingressgateway部署相同的名称空间中创建。例如,证书可能看起来像:
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: ingress-cert
namespace: istio-system
spec:
secretName: ingress-cert
commonName: my.example.com
dnsNames:
- my.example.com
...
一旦我们创建了证书,我们应该看到在istio-system名称空间中创建的秘密。然后可以在tls配置中为credentialName下的网关引用该地址:
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
name: gateway
spec:
selector:
istio: ingressgateway
servers:
- port:
number: 443
name: https
protocol: HTTPS
tls:
mode: SIMPLE
credentialName: ingress-cert # This should match the Certifcate secretName
hosts:
- my.example.com # This should match a DNS name in the Certificate
cert-manager通过配置Kubernetes Ingress与Kubernetes Ingress直接集成。如果使用此方法,则Ingress必须与istio-ingressgateway部署位于同一名称空间中,因为机密只能在同一名称空间中读取。
或者,可以按照annotation on the Ingress object中所述创建证书,然后在Ingress对象中引用:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress
annotations:
kubernetes.io/ingress.class: istio
spec:
rules:
- host: my.example.com
http: ...
tls:
- hosts:
- my.example.com # This should match a DNS name in the Certificate
secretName: ingress-cert # This should match the Certifcate secretName
此外,@ chrisnyc使用cert-menager制作了完整的Istio Gateway,并让它在istio讨论上进行加密,正如@YYashwanth在评论中提到的那样,解决了他的问题。因此,如果您遇到类似的问题,请查看上述内容。
相关问题
- Traefik Ingress(Kubernetes)未收到letencrypt证书
- 如何需要为traefik注释入口以生成letencrypt证书
- Istio Gateway + Cert-Manager + letencrypt证书
- SSL证书不适用于letencrypt
- Istio与Letencrypt SSL和证书管理器
- 在AWS EC2服务器上设置letencrypt证书
- 使用letencrypt证书在Wildfly 19上设置SSL证书
- 在Istio Ingress上使用Letencrypt证书
- 如何使用Letencrypt在HA代理Dockerfile上安装SSL证书
- 使用Istio端点身份验证使用Firebase身份验证JWT
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?