🥇Cert-manager 1.0 শেষ হয়ে গেছে

আপনি যদি একজন অভিজ্ঞ, বিজ্ঞ প্রকৌশলীকে জিজ্ঞাসা করেন যে তিনি সার্ট-ম্যানেজার সম্পর্কে কী মনে করেন এবং কেন সবাই এটি ব্যবহার করেন, তাহলে বিশেষজ্ঞ দীর্ঘশ্বাস ফেলবেন, আত্মবিশ্বাসে তাকে আলিঙ্গন করবেন এবং ক্লান্ত হয়ে বলবেন: “সবাই এটি ব্যবহার করে, কারণ কোনও বুদ্ধিমান বিকল্প নেই। আমাদের ইঁদুর কান্নাকাটি করে, কাঁটা দেয়, কিন্তু এই ক্যাকটাস নিয়ে বেঁচে থাকে। আমরা কেন ভালোবাসি? কারণ এটা কাজ করে। কেন আমরা ভালোবাসি না? কারণ প্রতিনিয়ত নতুন নতুন সংস্করণ আসছে যা নতুন বৈশিষ্ট্য ব্যবহার করে। এবং আপনাকে বারবার ক্লাস্টার আপডেট করতে হবে। এবং পুরানো সংস্করণগুলি কাজ করা বন্ধ করে, কারণ একটি ষড়যন্ত্র এবং একটি দুর্দান্ত রহস্যময় শামানবাদ রয়েছে।

তবে ডেভেলপাররা এমনটাই দাবি করেন সার্টি-ম্যানেজার 1.0 সবকিছু পরিবর্তন হবে।

আমরা বিশ্বাস করব?

সার্টি-ম্যানেজার হল নেটিভ Kubernetes সার্টিফিকেট ম্যানেজমেন্ট কন্ট্রোলার। এটি বিভিন্ন উত্স থেকে শংসাপত্র জারি করতে পারে: আসুন এনক্রিপ্ট করি, হাশিকর্প ভল্ট, ভেনাফি, কী জোড়া স্বাক্ষর করা এবং স্ব-স্বাক্ষর করা। এটি আপনাকে মেয়াদ শেষ হওয়ার তারিখ অনুসারে কীগুলি আপ-টু-ডেট রাখার অনুমতি দেয় এবং মেয়াদ শেষ হওয়ার আগে একটি নির্দিষ্ট সময়ে স্বয়ংক্রিয়ভাবে শংসাপত্রগুলি পুনর্নবীকরণ করার চেষ্টা করে। Cert-manager kube-lego-এর উপর ভিত্তি করে এবং অন্যান্য অনুরূপ প্রকল্প যেমন kube-cert-manager থেকে কিছু কৌশল ব্যবহার করেছে।

অব্যাহতি পত্র

সংস্করণ 1.0 এর সাথে, আমরা শংসাপত্র-ব্যবস্থাপক প্রকল্পের বিকাশের তিন বছরের জন্য বিশ্বাসের চিহ্ন রেখেছি। এই সময়ের মধ্যে, এটি কার্যকারিতা এবং স্থিতিশীলতার ক্ষেত্রে উল্লেখযোগ্যভাবে বিকশিত হয়েছে, তবে বেশিরভাগই সম্প্রদায়ের মধ্যে। আজ, আমরা দেখতে পাই যে অনেক লোক এটিকে তাদের কুবারনেটস ক্লাস্টারগুলি সুরক্ষিত করার পাশাপাশি এটিকে ইকোসিস্টেমের বিভিন্ন অংশে স্থাপন করতে ব্যবহার করছে। শেষ 16 রিলিজে অনেক বাগ সংশোধন করা হয়েছে। আর যা ভাঙার দরকার ছিল তা ভেঙে গেছে। API এর সাথে কাজ করার জন্য বেশ কয়েকটি পরিদর্শন ব্যবহারকারীদের সাথে এর মিথস্ক্রিয়া উন্নত করেছে। আমরা 1500 জন সম্প্রদায়ের সদস্যদের কাছ থেকে আরও পুল অনুরোধের সাথে GitHub-এ 253টি সমস্যার সমাধান করেছি।

1.0 প্রকাশের সাথে, আমরা আনুষ্ঠানিকভাবে ঘোষণা করি যে সার্টি-ম্যানেজার একটি পরিপক্ক প্রকল্প। আমরা আমাদের API সামঞ্জস্যপূর্ণ রাখার প্রতিশ্রুতি দিই v1.

এই তিন বছরে সার্টিফিকেট ম্যানেজার করতে আমাদের সাহায্যকারী সবাইকে অনেক ধন্যবাদ! সংস্করণ 1.0 আসন্ন অনেক বড় জিনিস প্রথম হতে দিন.

রিলিজ 1.0 হল একটি স্থিতিশীল রিলিজ যেখানে বেশ কয়েকটি অগ্রাধিকার রয়েছে:

v1 এপিআই;
টীম kubectl cert-manager status, সমস্যা বিশ্লেষণে সাহায্য করার জন্য;
সর্বশেষ স্থিতিশীল Kubernetes API ব্যবহার করে;
উন্নত লগিং;
ACME উন্নতি।

আপগ্রেড করার আগে আপগ্রেড নোট পড়তে ভুলবেন না।

API v1

সংস্করণ v0.16 API এর সাথে কাজ করেছে v1beta1. এটি কিছু কাঠামোগত পরিবর্তন যোগ করেছে এবং এপিআই ফিল্ড ডকুমেন্টেশনকেও উন্নত করেছে। সংস্করণ 1.0 একটি API এর সাথে এটি তৈরি করে v1. এই API আমাদের প্রথম স্থিতিশীল এক, একই সময়ে আমরা ইতিমধ্যে সামঞ্জস্যের গ্যারান্টি দিয়েছি, কিন্তু API এর সাথে v1 আমরা আগামী বছরের জন্য সামঞ্জস্য বজায় রাখার প্রতিশ্রুতি দিই।

পরিবর্তন করা হয়েছে (দ্রষ্টব্য: আমাদের রূপান্তর সরঞ্জামগুলি আপনার জন্য সবকিছুর যত্ন নেয়):

সনদপত্র:

emailSANs এখন বলা হয় emailAddresses
uriSANs - uris

এই পরিবর্তনগুলি অন্যান্য SAN-এর সাথে সামঞ্জস্য যোগ করে (বিষয় Alt নাম, প্রায়. অনুবাদক), পাশাপাশি Go API এর সাথে। আমরা আমাদের API থেকে এই শব্দটি সরিয়ে দিচ্ছি।

আপডেটের

আপনি যদি Kubernetes 1.16+ ব্যবহার করেন, ওয়েবহুকগুলিকে রূপান্তর করা আপনাকে একই সাথে এবং নির্বিঘ্নে API সংস্করণগুলির সাথে কাজ করার অনুমতি দেবে v1alpha2, v1alpha3, v1beta1 и v1. এগুলির সাহায্যে, আপনি আপনার পুরানো সংস্থানগুলি পরিবর্তন বা পুনঃনিয়োগ না করে API এর নতুন সংস্করণ ব্যবহার করতে সক্ষম হবেন৷ আমরা অত্যন্ত সুপারিশ করছি আপনার ম্যানিফেস্টগুলিকে API-তে আপগ্রেড করার৷ v1, পূর্ববর্তী সংস্করণগুলি শীঘ্রই বাতিল করা হবে৷ ব্যবহারকারীদের legacy শংসাপত্র-ব্যবস্থাপকের সংস্করণগুলির এখনও কেবল অ্যাক্সেস থাকবে৷ v1, আপগ্রেড পদক্ষেপ পাওয়া যাবে এখানে.

kubectl cert-manager স্ট্যাটাস কমান্ড

আমাদের এক্সটেনশনে নতুন উন্নতি সহ kubectl সার্টিফিকেট প্রদান না করার সাথে সম্পর্কিত সমস্যাগুলি তদন্ত করা সহজ হয়ে উঠেছে। kubectl cert-manager status এখন শংসাপত্রের সাথে কী ঘটছে সে সম্পর্কে আরও অনেক তথ্য দেয় এবং শংসাপত্র প্রদানের পর্যায়টিও দেখায়।

এক্সটেনশন ইনস্টল করার পরে, আপনি চালাতে পারেন kubectl cert-manager status certificate <имя-сертификата>, যা প্রদত্ত নাম সহ শংসাপত্রটি সন্ধান করবে এবং ACME থেকে শংসাপত্র ব্যবহার করলে সার্টিফিকেট রিকোয়েস্ট, সিক্রেট, ইস্যুয়ার, এবং অর্ডার এবং চ্যালেঞ্জের মতো যেকোন সম্পর্কিত সংস্থানগুলি সন্ধান করবে৷

একটি শংসাপত্র ডিবাগ করার একটি উদাহরণ যা এখনও প্রস্তুত নয়:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

কমান্ডটি আপনাকে সার্টিফিকেটের বিষয়বস্তু সম্পর্কে আরও জানতে সাহায্য করতে পারে। Letsencrypt দ্বারা জারি করা একটি শংসাপত্রের জন্য বিস্তারিত উদাহরণ:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

সর্বশেষ স্থিতিশীল Kubernetes API ব্যবহার করে

সার্টি-ম্যানেজার ছিলেন কুবারনেটেস সিআরডি বাস্তবায়নকারী প্রথম একজন। এটি, এবং 1.11 পর্যন্ত Kubernetes সংস্করণগুলির জন্য আমাদের সমর্থনের অর্থ হল আমাদের উত্তরাধিকারকে সমর্থন করতে হবে apiextensions.k8s.io/v1beta1 আমাদের CRD-এর জন্যও admissionregistration.k8s.io/v1beta1 আমাদের ওয়েবহুকের জন্য। সেগুলি এখন বাতিল করা হয়েছে এবং 1.22 সংস্করণ থেকে Kubernetes-এ সরানো হবে৷ আমাদের 1.0 এর সাথে আমরা এখন পূর্ণ সমর্থন অফার করি apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 Kubernetes 1.16 এর জন্য (যেখানে তারা যোগ করা হয়েছিল) এবং নতুন। পূর্ববর্তী সংস্করণের ব্যবহারকারীদের জন্য, আমরা সমর্থন প্রদান চালিয়ে যাচ্ছি v1beta1 আমাদের মাঝে legacy সংস্করণ

উন্নত লগিং

এই রিলিজে, আমরা লগিং লাইব্রেরি আপডেট করেছি klog/v2, Kubernetes 1.19 এ ব্যবহৃত। আমরা প্রতিটি জার্নাল পর্যালোচনা করি যাতে আমরা এটি যথাযথ স্তরে বরাদ্দ করা হয় তা নিশ্চিত করতে লিখি। আমরা এই দ্বারা পরিচালিত ছিল Kubernetes থেকে নির্দেশিকা. পাঁচটি (আসলে ছয়টি, প্রায়. অনুবাদক) থেকে শুরু লগিং স্তর Error (স্তর 0), যা শুধুমাত্র গুরুত্বপূর্ণ ত্রুটিগুলি প্রিন্ট করে এবং এর সাথে শেষ হয় Trace (লেভেল 5) যা আপনাকে ঠিক কি ঘটছে তা জানতে সাহায্য করবে। এই পরিবর্তনের মাধ্যমে, সার্টি-ম্যানেজার চালানোর সময় আপনার ডিবাগ তথ্যের প্রয়োজন না হলে আমরা লগের সংখ্যা কমিয়ে দিয়েছি।

টিপ: সার্টি-ম্যানেজার ডিফল্টভাবে লেভেল 2 এ চলে (Info), আপনি এটি ব্যবহার করে ওভাররাইড করতে পারেন global.logLevel হেলচার্টে।

দ্রষ্টব্য: সমস্যা সমাধানের সময় লগগুলি দেখাই শেষ অবলম্বন। আরও তথ্যের জন্য আমাদের চেক আউট নেতৃত্ব.

সম্পাদকের n.b.: Kubernetes-এর হুডের অধীনে এটি কীভাবে কাজ করে সে সম্পর্কে আরও জানতে, অনুশীলনকারী শিক্ষকদের কাছ থেকে মূল্যবান পরামর্শ পেতে, পাশাপাশি মানসম্পন্ন প্রযুক্তিগত সহায়তা সহায়তা পেতে, আপনি অনলাইন ইনটেনসিভগুলিতে অংশ নিতে পারেন কুবারনেটস বেস, যা 28-30 সেপ্টেম্বর অনুষ্ঠিত হবে, এবং কুবারনেটস মেগাযা 14-16 অক্টোবর অনুষ্ঠিত হবে।

ACME উন্নতি

সার্টি-ম্যানেজারের সবচেয়ে সাধারণ ব্যবহার সম্ভবত ACME ব্যবহার করে Let's Encrypt থেকে সার্টিফিকেট প্রদানের সাথে সম্পর্কিত। সংস্করণ 1.0 আমাদের ACME প্রদানকারীতে দুটি ছোট কিন্তু গুরুত্বপূর্ণ উন্নতি যোগ করতে সম্প্রদায়ের প্রতিক্রিয়া ব্যবহার করার জন্য উল্লেখযোগ্য।

অ্যাকাউন্ট কী জেনারেশন অক্ষম করুন

আপনি যদি ACME শংসাপত্রগুলি বড় পরিমাণে ব্যবহার করেন, তাহলে আপনি একাধিক ক্লাস্টারে একই অ্যাকাউন্ট ব্যবহার করতে পারেন, তাই আপনার শংসাপত্র প্রদানের সীমাবদ্ধতাগুলি তাদের সকলের জন্য প্রযোজ্য হবে। উল্লেখিত গোপনীয়তা অনুলিপি করার সময় সার্টি-ম্যানেজারে এটি ইতিমধ্যেই সম্ভব ছিল privateKeySecretRef. এই ব্যবহারের কেসটি বরং বাজি ছিল, কারণ শংসাপত্র-ব্যবস্থাপক সহায়ক হওয়ার চেষ্টা করেছিলেন এবং যদি এটি একটি খুঁজে না পায় তবে আনন্দের সাথে একটি নতুন অ্যাকাউন্ট কী তৈরি করেছিল। সেজন্য আমরা যোগ করেছি disableAccountKeyGenerationআপনি যদি এই বিকল্পটি সেট করেন তবে এই আচরণ থেকে আপনাকে রক্ষা করতে true - সার্টি-ম্যানেজার একটি কী তৈরি করবে না এবং আপনাকে সতর্ক করবে যে এটি একটি অ্যাকাউন্ট কী দিয়ে দেওয়া হয়নি।

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

পছন্দের চেইন

সেপ্টেম্বর 29 আসুন এনক্রিপ্ট করি পাস হবে আপনার নিজস্ব রুট CA ISRG Root. ক্রস-স্বাক্ষরিত শংসাপত্রগুলি দ্বারা প্রতিস্থাপিত হবে Identrust. এই পরিবর্তনের জন্য সার্টি-ম্যানেজার সেটিংসে পরিবর্তনের প্রয়োজন নেই, এই তারিখের পরে জারি করা সমস্ত আপডেট বা নতুন শংসাপত্র নতুন রুট CA ব্যবহার করবে।

আসুন এনক্রিপ্ট করি ইতিমধ্যেই এই CA-এর সাথে শংসাপত্রগুলি স্বাক্ষর করে এবং সেগুলিকে ACME-এর মাধ্যমে একটি "বিকল্প শংসাপত্র চেইন" হিসাবে অফার করে৷ সার্টি-ম্যানেজারের এই সংস্করণে, ইস্যুকারী সেটিংসে এই চেইনগুলিতে অ্যাক্সেস সেট করা সম্ভব। প্যারামিটারে preferredChain আপনি ব্যবহার করা CA-এর নাম উল্লেখ করতে পারেন, যার সাথে সার্টিফিকেট জারি করা হবে। অনুরোধের সাথে মিলে একটি CA শংসাপত্র পাওয়া গেলে, এটি আপনাকে একটি শংসাপত্র প্রদান করবে। দয়া করে মনে রাখবেন যে এটি পছন্দের বিকল্প, যদি কিছু না পাওয়া যায় তবে একটি ডিফল্ট শংসাপত্র জারি করা হবে। এটি নিশ্চিত করবে যে আপনি ACME ইস্যুকারী পক্ষের বিকল্প চেইন মুছে ফেলার পরেও আপনার শংসাপত্র পুনর্নবীকরণ করবেন।

ইতিমধ্যে আজ আপনি স্বাক্ষরিত সার্টিফিকেট পেতে পারেন ISRG Root, তাই:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

আপনি যদি চেইন ছেড়ে যেতে পছন্দ করেন IdenTrust - এই বিকল্পটি সেট করুন DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

অনুগ্রহ করে মনে রাখবেন যে এই রুট CA শীঘ্রই বাতিল করা হবে, আসুন এনক্রিপ্ট এই চেইনটিকে 29 সেপ্টেম্বর, 2021 পর্যন্ত সক্রিয় রাখবে।

উত্স: www.habr.com

সার্টি-ম্যানেজার 1.0 প্রকাশিত হয়েছে