🥇Cert-manager 1.0 બહાર છે | પ્રોહોસ્ટર

જો તમે અનુભવી, સમજદાર એન્જિનિયરને પૂછો કે તે પ્રમાણપત્ર-મેનેજર વિશે શું વિચારે છે અને શા માટે દરેક તેનો ઉપયોગ કરે છે, તો નિષ્ણાત નિસાસો નાખશે, આત્મવિશ્વાસથી તેને ગળે લગાવશે અને કંટાળાજનક રીતે કહેશે: “દરેક વ્યક્તિ તેનો ઉપયોગ કરે છે, કારણ કે ત્યાં કોઈ સમજદાર વિકલ્પો નથી. અમારા ઉંદર રડે છે, પ્રિક કરે છે, પરંતુ આ કેક્ટસ સાથે જીવવાનું ચાલુ રાખે છે. આપણે શા માટે પ્રેમ કરીએ છીએ? કારણ કે તે કામ કરે છે. આપણે પ્રેમ કેમ નથી કરતા? કારણ કે નવા સંસ્કરણો સતત બહાર આવી રહ્યા છે જે નવી સુવિધાઓનો ઉપયોગ કરે છે. અને તમારે ક્લસ્ટરને વારંવાર અપડેટ કરવું પડશે. અને જૂના સંસ્કરણો કામ કરવાનું બંધ કરે છે, કારણ કે ત્યાં એક કાવતરું અને એક મહાન રહસ્યમય શામનિઝમ છે.

પરંતુ વિકાસકર્તાઓ દાવો કરે છે કે પ્રમાણપત્ર-મેનેજર 1.0 બધું બદલાઈ જશે.

શું આપણે માનીએ છીએ?

પ્રમાણપત્ર-મેનેજર એ મૂળ કુબરનેટ્સ પ્રમાણપત્ર વ્યવસ્થાપન નિયંત્રક છે. તેનો ઉપયોગ વિવિધ સ્ત્રોતોમાંથી પ્રમાણપત્રો આપવા માટે થઈ શકે છે: ચાલો એન્ક્રિપ્ટ કરીએ, હાશીકોર્પ વૉલ્ટ, વેનાફી, સહી અને સ્વ-સહી કરેલ કી જોડી. તે તમને સમાપ્તિ તારીખ દ્વારા કીને અપ-ટૂ-ડેટ રાખવા માટે પણ પરવાનગી આપે છે, અને પ્રમાણપત્રોની સમયસીમા સમાપ્ત થાય તે પહેલાં ચોક્કસ સમયે આપમેળે રિન્યૂ કરવાનો પ્રયાસ કરે છે. Cert-manager kube-lego પર આધારિત છે અને તેણે kube-cert-manager જેવા અન્ય સમાન પ્રોજેક્ટમાંથી કેટલીક યુક્તિઓનો પણ ઉપયોગ કર્યો છે.

પ્રકાશન નોંધો

સંસ્કરણ 1.0 સાથે, અમે પ્રમાણપત્ર-મેનેજર પ્રોજેક્ટના વિકાસના ત્રણ વર્ષ માટે વિશ્વાસનું ચિહ્ન મૂક્યું છે. આ સમય દરમિયાન, તે કાર્યક્ષમતા અને સ્થિરતામાં નોંધપાત્ર રીતે વિકસિત થયું છે, પરંતુ મોટાભાગે સમુદાયમાં. આજે, આપણે ઘણા લોકો તેનો ઉપયોગ તેમના કુબરનેટ્સ ક્લસ્ટરોને સુરક્ષિત કરવા તેમજ તેને ઇકોસિસ્ટમના વિવિધ ભાગોમાં જમાવતા જોઈ રહ્યા છીએ. છેલ્લી 16 રીલીઝમાં ઘણી બધી ભૂલો ઠીક કરવામાં આવી છે. અને જે તૂટવાની જરૂર હતી તે તૂટી ગયું છે. API સાથે કામ કરવા માટે ઘણી મુલાકાતોએ વપરાશકર્તાઓ સાથે તેની ક્રિયાપ્રતિક્રિયામાં સુધારો કર્યો છે. અમે 1500 સમુદાયના સભ્યોની વધુ પુલ વિનંતીઓ સાથે GitHub પર 253 સમસ્યાઓ ઉકેલી છે.

1.0 ના પ્રકાશન સાથે, અમે સત્તાવાર રીતે જાહેર કરીએ છીએ કે પ્રમાણપત્ર-મેનેજર એક પરિપક્વ પ્રોજેક્ટ છે. અમે અમારા API ને સુસંગત રાખવાનું પણ વચન આપીએ છીએ v1.

આ ત્રણેય વર્ષોમાં અમને પ્રમાણપત્ર-મેનેજર બનાવવામાં મદદ કરનાર દરેકનો ખૂબ ખૂબ આભાર! આવૃત્તિ 1.0 એ આવનારી ઘણી મોટી વસ્તુઓમાંથી પ્રથમ બનવા દો.

પ્રકાશન 1.0 એ ઘણા અગ્રતા ક્ષેત્રો સાથે સ્થિર પ્રકાશન છે:

v1 API;
ટીમ kubectl cert-manager status, સમસ્યાના વિશ્લેષણમાં મદદ કરવા માટે;
નવીનતમ સ્થિર Kubernetes API નો ઉપયોગ કરીને;
સુધારેલ લોગીંગ;
ACME સુધારાઓ.

અપગ્રેડ કરતા પહેલા અપગ્રેડ નોંધો વાંચવાની ખાતરી કરો.

API v1

સંસ્કરણ v0.16 એ API સાથે કામ કર્યું v1beta1. આનાથી કેટલાક માળખાકીય ફેરફારો થયા અને API ફીલ્ડ દસ્તાવેજીકરણમાં પણ સુધારો થયો. સંસ્કરણ 1.0 આના પર API સાથે બિલ્ડ કરે છે v1. આ API અમારું પ્રથમ સ્થિર છે, તે જ સમયે અમે પહેલાથી જ સુસંગતતા ગેરંટી આપી છે, પરંતુ API સાથે v1 અમે આવનારા વર્ષો સુધી સુસંગતતા જાળવવાનું વચન આપીએ છીએ.

કરેલા ફેરફારો (નોંધ: અમારા રૂપાંતરણ સાધનો તમારા માટે દરેક વસ્તુની કાળજી લે છે):

પ્રમાણપત્ર:

emailSANs હવે કહેવાય છે emailAddresses
uriSANs - uris

આ ફેરફારો અન્ય SAN સાથે સુસંગતતા ઉમેરે છે (વિષય Alt નામો, આશરે અનુવાદક), તેમજ Go API સાથે. અમે અમારા API માંથી આ શબ્દ દૂર કરી રહ્યા છીએ.

અપડેટ કરો

જો તમે Kubernetes 1.16+ નો ઉપયોગ કરી રહ્યાં છો, તો વેબહુક્સને કન્વર્ટ કરવાથી તમને API સંસ્કરણો સાથે એકસાથે અને એકીકૃત રીતે કામ કરવાની મંજૂરી મળશે v1alpha2, v1alpha3, v1beta1 и v1. આની સાથે, તમે તમારા જૂના સંસાધનોને બદલ્યા વિના અથવા પુનઃસ્થાપિત કર્યા વિના API ના નવા સંસ્કરણનો ઉપયોગ કરી શકશો. અમે તમારા મેનિફેસ્ટને API પર અપગ્રેડ કરવાની ખૂબ ભલામણ કરીએ છીએ v1, જેમ કે અગાઉના સંસ્કરણો ટૂંક સમયમાં નાપસંદ કરવામાં આવશે. વપરાશકર્તાઓ legacy cert-manager ના સંસ્કરણો પાસે હજુ પણ ફક્ત ઍક્સેસ હશે v1, અપગ્રેડ પગલાંઓ શોધી શકાય છે અહીં.

kubectl cert-manager status આદેશ

સુધીના અમારા વિસ્તરણમાં નવા સુધારાઓ સાથે kubectl પ્રમાણપત્રો જારી ન કરવા સાથે સંકળાયેલી સમસ્યાઓની તપાસ કરવાનું સરળ બન્યું. kubectl cert-manager status હવે પ્રમાણપત્રો સાથે શું થઈ રહ્યું છે તે વિશે ઘણી વધુ માહિતી આપે છે અને પ્રમાણપત્ર જારી કરવાનો તબક્કો પણ બતાવે છે.

એક્સ્ટેંશન ઇન્સ્ટોલ કર્યા પછી, તમે ચલાવી શકો છો kubectl cert-manager status certificate <имя-сертификата>, જે આપેલ નામ સાથે પ્રમાણપત્ર અને કોઈપણ સંબંધિત સંસાધનો જેમ કે CertificateRequest, Secret, Issuer, and Order and Challenges જો ACME ના પ્રમાણપત્રોનો ઉપયોગ કરતા હોય તો તે જોશે.

પ્રમાણપત્રને ડીબગ કરવાનું ઉદાહરણ જે હજી તૈયાર નથી:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

આદેશ તમને પ્રમાણપત્રની સામગ્રી વિશે વધુ જાણવા માટે પણ મદદ કરી શકે છે. Letsencrypt દ્વારા જારી કરાયેલ પ્રમાણપત્ર માટે વિગતવાર ઉદાહરણ:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

નવીનતમ સ્થિર Kubernetes API નો ઉપયોગ કરીને

સર્ટિ-મેનેજર કુબરનેટ્સ સીઆરડીનો અમલ કરનાર સૌપ્રથમમાંના એક હતા. આ, અને 1.11 સુધીના કુબરનેટ્સ વર્ઝન માટેના અમારા સમર્થનનો અર્થ એ થયો કે અમારે વારસાને સમર્થન આપવાની જરૂર છે apiextensions.k8s.io/v1beta1 અમારા CRD માટે પણ admissionregistration.k8s.io/v1beta1 અમારા વેબહુક્સ માટે. તેઓ હવે દૂર કરવામાં આવ્યા છે અને આવૃત્તિ 1.22 માંથી Kubernetes માં દૂર કરવામાં આવશે. અમારા 1.0 સાથે અમે હવે સંપૂર્ણ સપોર્ટ ઓફર કરીએ છીએ apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 Kubernetes 1.16 (જ્યાં તેઓ ઉમેરવામાં આવ્યા હતા) અને નવા માટે. પાછલા સંસ્કરણોના વપરાશકર્તાઓ માટે, અમે સપોર્ટ ઓફર કરવાનું ચાલુ રાખીએ છીએ v1beta1 અમારા માં legacy આવૃત્તિઓ.

સુધારેલ લોગીંગ

આ પ્રકાશનમાં, અમે લોગીંગ લાઇબ્રેરીને અપડેટ કરી છે klog/v2, Kubernetes 1.19 માં વપરાયેલ. અમે દરેક જર્નલની સમીક્ષા કરીએ છીએ જે અમે લખીએ છીએ તેની ખાતરી કરવા માટે કે તેને યોગ્ય સ્તર સોંપવામાં આવ્યું છે. અમને આના દ્વારા માર્ગદર્શન આપવામાં આવ્યું હતું કુબરનેટ્સ તરફથી માર્ગદર્શન. ત્યાં પાંચ છે (ખરેખર છ, આશરે અનુવાદક) થી શરૂ થતા લોગીંગ સ્તરો Error (સ્તર 0), જે માત્ર મહત્વની ભૂલોને છાપે છે અને તેની સાથે સમાપ્ત થાય છે Trace (સ્તર 5) જે તમને બરાબર જાણવામાં મદદ કરશે કે શું થઈ રહ્યું છે. આ ફેરફાર સાથે, અમે લોગની સંખ્યામાં ઘટાડો કર્યો છે જો તમને cert-manager ચલાવતી વખતે ડીબગ માહિતીની જરૂર ન હોય.

ટીપ: પ્રમાણપત્ર-મેનેજર મૂળભૂત રીતે સ્તર 2 પર ચાલે છે (Info), તમે આનો ઉપયોગ કરીને ઓવરરાઇડ કરી શકો છો global.logLevel હેલ્મચાર્ટમાં.

નોંધ: સમસ્યાનિવારણ કરતી વખતે લોગ જોવા એ છેલ્લો ઉપાય છે. વધુ માહિતી માટે અમારું તપાસો નેતૃત્વ.

સંપાદકના એન.બી.: કુબરનેટ્સના હૂડ હેઠળ આ બધું કેવી રીતે કાર્ય કરે છે તે વિશે વધુ જાણવા માટે, પ્રેક્ટિસ કરતા શિક્ષકો પાસેથી મૂલ્યવાન સલાહ મેળવો, તેમજ ગુણવત્તાયુક્ત ટેકનિકલ સપોર્ટ સહાય મેળવો, તમે ઑનલાઇન સઘનતામાં ભાગ લઈ શકો છો. કુબરનેટ્સ બેઝ, જે સપ્ટેમ્બર 28-30 યોજાશે, અને કુબરનેટ્સ મેગાજે 14-16 ઓક્ટોબરે યોજાશે.

ACME સુધારાઓ

પ્રમાણપત્ર-મેનેજરનો સૌથી સામાન્ય ઉપયોગ કદાચ ACME નો ઉપયોગ કરીને Let's Encrypt તરફથી પ્રમાણપત્રો જારી કરવા સાથે સંબંધિત છે. સંસ્કરણ 1.0 અમારા ACME રજૂકર્તામાં બે નાના પરંતુ મહત્વપૂર્ણ સુધારાઓ ઉમેરવા માટે સમુદાય પ્રતિસાદનો ઉપયોગ કરવા માટે નોંધપાત્ર છે.

એકાઉન્ટ કી જનરેશનને અક્ષમ કરો

જો તમે મોટા જથ્થામાં ACME પ્રમાણપત્રોનો ઉપયોગ કરો છો, તો તમે બહુવિધ ક્લસ્ટરો પર સમાન એકાઉન્ટનો ઉપયોગ કરી શકો છો, તેથી તમારા પ્રમાણપત્ર જારી કરવાના નિયંત્રણો તે બધા પર લાગુ થશે. માં ઉલ્લેખિત ગુપ્તની નકલ કરતી વખતે પ્રમાણપત્ર-મેનેજરમાં આ પહેલેથી જ શક્ય હતું privateKeySecretRef. આ ઉપયોગનો કેસ એકદમ બગડ્યો હતો, કારણ કે પ્રમાણપત્ર-મેનેજરે મદદરૂપ થવાનો પ્રયાસ કર્યો હતો અને જો તેને એક ન મળી તો ખુશીથી નવી એકાઉન્ટ કી બનાવી. તેથી જ અમે ઉમેર્યું disableAccountKeyGenerationજો તમે આ વિકલ્પ પર સેટ કરો છો તો તમને આ વર્તનથી બચાવવા માટે true - પ્રમાણપત્ર-મેનેજર કી જનરેટ કરશે નહીં અને તમને ચેતવણી આપશે કે તેને એકાઉન્ટ કી પ્રદાન કરવામાં આવી નથી.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

પસંદગીની સાંકળ

સપ્ટેમ્બર 29 ચાલો એન્ક્રિપ્ટ કરીએ પાસ થઇ જશે તમારા પોતાના રૂટ CA પર ISRG Root. ક્રોસ સહી કરેલ પ્રમાણપત્રો દ્વારા બદલવામાં આવશે Identrust. આ ફેરફારને પ્રમાણપત્ર-મેનેજર સેટિંગ્સમાં ફેરફારની જરૂર નથી, આ તારીખ પછી જારી કરાયેલા તમામ અપડેટ અથવા નવા પ્રમાણપત્રો નવા રૂટ CA નો ઉપયોગ કરશે.

ચાલો પહેલાથી જ આ CA સાથે પ્રમાણપત્રોને એન્ક્રિપ્ટ કરીએ છીએ અને તેમને ACME દ્વારા "વૈકલ્પિક પ્રમાણપત્ર સાંકળ" તરીકે ઑફર કરીએ છીએ. પ્રમાણપત્ર-મેનેજરના આ સંસ્કરણમાં, ઇશ્યુઅર સેટિંગ્સમાં આ સાંકળોની ઍક્સેસ સેટ કરવી શક્ય છે. પરિમાણમાં preferredChain તમે ઉપયોગમાં લેવાતા CA નું નામ સ્પષ્ટ કરી શકો છો, જેની સાથે પ્રમાણપત્ર જારી કરવામાં આવશે. જો વિનંતી સાથે મેળ ખાતું CA પ્રમાણપત્ર ઉપલબ્ધ હશે, તો તે તમને પ્રમાણપત્ર આપશે. મહેરબાની કરીને નોંધ કરો કે આ પસંદગીનો વિકલ્પ છે, જો કંઈ ન મળે, તો ડિફોલ્ટ પ્રમાણપત્ર જારી કરવામાં આવશે. આ સુનિશ્ચિત કરશે કે તમે ACME રજૂકર્તા બાજુ પર વૈકલ્પિક સાંકળ કાઢી નાખ્યા પછી પણ તમારું પ્રમાણપત્ર રિન્યૂ કરશો.

આજે તમે સહી કરેલ પ્રમાણપત્રો પ્રાપ્ત કરી શકો છો ISRG Root, તેથી:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

જો તમે સાંકળ છોડવાનું પસંદ કરો છો IdenTrust - આ વિકલ્પને સેટ કરો DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

કૃપા કરીને નોંધો કે આ રૂટ CA ટૂંક સમયમાં નાપસંદ કરવામાં આવશે, ચાલો એન્ક્રિપ્ટ આ સાંકળને 29 સપ્ટેમ્બર, 2021 સુધી સક્રિય રાખશે.

સોર્સ: www.habr.com

cert-manager 1.0 રિલીઝ થયું