ಒಬ್ಬ ಅನುಭವಿ, ಬುದ್ಧಿವಂತ ಇಂಜಿನಿಯರ್ಗೆ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕರ ಬಗ್ಗೆ ಅವರು ಏನು ಯೋಚಿಸುತ್ತಾರೆ ಮತ್ತು ಎಲ್ಲರೂ ಅದನ್ನು ಏಕೆ ಬಳಸುತ್ತಾರೆ ಎಂದು ಕೇಳಿದರೆ, ತಜ್ಞರು ನಿಟ್ಟುಸಿರು ಬಿಡುತ್ತಾರೆ, ಅವರನ್ನು ವಿಶ್ವಾಸದಿಂದ ತಬ್ಬಿಕೊಳ್ಳುತ್ತಾರೆ ಮತ್ತು ಬೇಸರದಿಂದ ಹೇಳುತ್ತಾರೆ: “ಪ್ರತಿಯೊಬ್ಬರೂ ಇದನ್ನು ಬಳಸುತ್ತಾರೆ, ಏಕೆಂದರೆ ಯಾವುದೇ ವಿವೇಕಯುತ ಪರ್ಯಾಯಗಳಿಲ್ಲ. ನಮ್ಮ ಇಲಿಗಳು ಅಳುತ್ತವೆ, ಚುಚ್ಚುತ್ತವೆ, ಆದರೆ ಈ ಕಳ್ಳಿಯೊಂದಿಗೆ ಬದುಕುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತವೆ. ನಾವು ಯಾಕೆ ಪ್ರೀತಿಸುತ್ತೇವೆ? ಏಕೆಂದರೆ ಅದು ಕೆಲಸ ಮಾಡುತ್ತದೆ. ನಾವು ಯಾಕೆ ಪ್ರೀತಿಸಬಾರದು? ಏಕೆಂದರೆ ಹೊಸ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಬಳಸುವ ಹೊಸ ಆವೃತ್ತಿಗಳು ನಿರಂತರವಾಗಿ ಹೊರಬರುತ್ತಿವೆ. ಮತ್ತು ನೀವು ಕ್ಲಸ್ಟರ್ ಅನ್ನು ಮತ್ತೆ ಮತ್ತೆ ನವೀಕರಿಸಬೇಕು. ಮತ್ತು ಹಳೆಯ ಆವೃತ್ತಿಗಳು ಕೆಲಸ ಮಾಡುವುದನ್ನು ನಿಲ್ಲಿಸುತ್ತವೆ, ಏಕೆಂದರೆ ಪಿತೂರಿ ಮತ್ತು ದೊಡ್ಡ ನಿಗೂಢ ಷಾಮನಿಸಂ ಇದೆ.
ಆದರೆ ಅಭಿವರ್ಧಕರು ಅದನ್ನು ಪ್ರತಿಪಾದಿಸುತ್ತಾರೆ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕ 1.0 ಎಲ್ಲವೂ ಬದಲಾಗುತ್ತದೆ.
ನಂಬುವುದೇ?
Cert-ಮ್ಯಾನೇಜರ್ ಸ್ಥಳೀಯ ಕುಬರ್ನೆಟ್ಸ್ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ನಿಯಂತ್ರಕ. ವಿವಿಧ ಮೂಲಗಳಿಂದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಲು ಇದನ್ನು ಬಳಸಬಹುದು: ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್, ಹ್ಯಾಶಿಕಾರ್ಪ್ ವಾಲ್ಟ್, ವೆನಾಫಿ, ಸಹಿ ಮತ್ತು ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಕೀ ಜೋಡಿಗಳು. ಇದು ಮುಕ್ತಾಯ ದಿನಾಂಕದ ಮೂಲಕ ಕೀಗಳನ್ನು ನವೀಕೃತವಾಗಿರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಅವಧಿ ಮುಗಿಯುವ ಮೊದಲು ನಿರ್ದಿಷ್ಟ ಸಮಯದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನವೀಕರಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ. Cert-manager kube-lego ಅನ್ನು ಆಧರಿಸಿದೆ ಮತ್ತು kube-cert-manager ನಂತಹ ಇತರ ರೀತಿಯ ಯೋಜನೆಗಳಿಂದ ಕೆಲವು ತಂತ್ರಗಳನ್ನು ಸಹ ಬಳಸಿದ್ದಾರೆ.
ಬಿಡುಗಡೆ ಟಿಪ್ಪಣಿಗಳು
ಆವೃತ್ತಿ 1.0 ನೊಂದಿಗೆ, ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕ ಯೋಜನೆಯ ಅಭಿವೃದ್ಧಿಯ ಮೂರು ವರ್ಷಗಳವರೆಗೆ ನಾವು ನಂಬಿಕೆಯ ಗುರುತು ಹಾಕುತ್ತೇವೆ. ಈ ಸಮಯದಲ್ಲಿ, ಇದು ಕ್ರಿಯಾತ್ಮಕತೆ ಮತ್ತು ಸ್ಥಿರತೆಯಲ್ಲಿ ಗಮನಾರ್ಹವಾಗಿ ವಿಕಸನಗೊಂಡಿದೆ, ಆದರೆ ಎಲ್ಲಕ್ಕಿಂತ ಹೆಚ್ಚಾಗಿ ಸಮುದಾಯದಲ್ಲಿ. ಇಂದು, ಅನೇಕ ಜನರು ತಮ್ಮ ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸಲು ಮತ್ತು ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ವಿವಿಧ ಭಾಗಗಳಿಗೆ ಅದನ್ನು ನಿಯೋಜಿಸಲು ಬಳಸುವುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ. ಕಳೆದ 16 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಬಹಳಷ್ಟು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ. ಮತ್ತು ಮುರಿಯಬೇಕಾದದ್ದು ಮುರಿದುಹೋಗಿದೆ. API ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಹಲವಾರು ಭೇಟಿಗಳು ಬಳಕೆದಾರರೊಂದಿಗೆ ಅದರ ಸಂವಹನವನ್ನು ಸುಧಾರಿಸಿದೆ. 1500 ಸಮುದಾಯದ ಸದಸ್ಯರಿಂದ ಹೆಚ್ಚಿನ ಪುಲ್ ವಿನಂತಿಗಳೊಂದಿಗೆ ನಾವು GitHub ನಲ್ಲಿ 253 ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಿದ್ದೇವೆ.
1.0 ಬಿಡುಗಡೆಯೊಂದಿಗೆ, ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕವು ಪ್ರಬುದ್ಧ ಯೋಜನೆಯಾಗಿದೆ ಎಂದು ನಾವು ಅಧಿಕೃತವಾಗಿ ಘೋಷಿಸುತ್ತೇವೆ. ನಮ್ಮ API ಹೊಂದಾಣಿಕೆಯನ್ನು ಇರಿಸಿಕೊಳ್ಳಲು ನಾವು ಭರವಸೆ ನೀಡುತ್ತೇವೆ v1
.
ಈ ಮೂರು ವರ್ಷಗಳಲ್ಲಿ ಸರ್ಟ್-ಮ್ಯಾನೇಜರ್ ಮಾಡಲು ನಮಗೆ ಸಹಾಯ ಮಾಡಿದ ಎಲ್ಲರಿಗೂ ತುಂಬಾ ಧನ್ಯವಾದಗಳು! ಬರಲಿರುವ ಅನೇಕ ದೊಡ್ಡ ವಿಷಯಗಳಲ್ಲಿ ಆವೃತ್ತಿ 1.0 ಮೊದಲನೆಯದು.
ಬಿಡುಗಡೆ 1.0 ಹಲವಾರು ಆದ್ಯತೆಯ ಕ್ಷೇತ್ರಗಳೊಂದಿಗೆ ಸ್ಥಿರ ಬಿಡುಗಡೆಯಾಗಿದೆ:
-
v1
API; -
ತಂಡದ
kubectl cert-manager status
, ಸಮಸ್ಯೆ ವಿಶ್ಲೇಷಣೆಗೆ ಸಹಾಯ ಮಾಡಲು; -
ಇತ್ತೀಚಿನ ಸ್ಥಿರ ಕುಬರ್ನೆಟ್ಸ್ API ಗಳನ್ನು ಬಳಸುವುದು;
-
ಸುಧಾರಿತ ಲಾಗಿಂಗ್;
-
ACME ಸುಧಾರಣೆಗಳು.
ಅಪ್ಗ್ರೇಡ್ ಮಾಡುವ ಮೊದಲು ಅಪ್ಗ್ರೇಡ್ ಟಿಪ್ಪಣಿಗಳನ್ನು ಓದಲು ಮರೆಯದಿರಿ.
API v1
ಆವೃತ್ತಿ v0.16 API ಜೊತೆಗೆ ಕೆಲಸ ಮಾಡಿದೆ v1beta1
. ಇದು ಕೆಲವು ರಚನಾತ್ಮಕ ಬದಲಾವಣೆಗಳನ್ನು ಸೇರಿಸಿತು ಮತ್ತು API ಕ್ಷೇತ್ರ ದಾಖಲಾತಿಯನ್ನು ಸುಧಾರಿಸಿತು. ಆವೃತ್ತಿ 1.0 ಇದನ್ನು API ನೊಂದಿಗೆ ನಿರ್ಮಿಸುತ್ತದೆ v1
. ಈ API ನಮ್ಮ ಮೊದಲ ಸ್ಥಿರವಾಗಿದೆ, ಅದೇ ಸಮಯದಲ್ಲಿ ನಾವು ಈಗಾಗಲೇ ಹೊಂದಾಣಿಕೆಯ ಖಾತರಿಗಳನ್ನು ನೀಡಿದ್ದೇವೆ, ಆದರೆ API ಜೊತೆಗೆ v1
ಮುಂಬರುವ ವರ್ಷಗಳಲ್ಲಿ ಹೊಂದಾಣಿಕೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಲು ನಾವು ಭರವಸೆ ನೀಡುತ್ತೇವೆ.
ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ (ಗಮನಿಸಿ: ನಮ್ಮ ಪರಿವರ್ತನೆ ಉಪಕರಣಗಳು ನಿಮಗಾಗಿ ಎಲ್ಲವನ್ನೂ ನೋಡಿಕೊಳ್ಳುತ್ತವೆ):
ಪ್ರಮಾಣಪತ್ರ:
-
emailSANs
ಈಗ ಕರೆಯಲಾಗುತ್ತದೆemailAddresses
-
uriSANs
-uris
ಈ ಬದಲಾವಣೆಗಳು ಇತರ SAN ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಸೇರಿಸುತ್ತವೆ (ವಿಷಯ ಪರ್ಯಾಯ ಹೆಸರುಗಳು, ಅಂದಾಜು ಅನುವಾದಕ), ಹಾಗೆಯೇ Go API ಜೊತೆಗೆ. ನಾವು ಈ ಪದವನ್ನು ನಮ್ಮ API ನಿಂದ ತೆಗೆದುಹಾಕುತ್ತಿದ್ದೇವೆ.
ನವೀಕರಿಸಿ
ನೀವು ಕುಬರ್ನೆಟ್ಸ್ 1.16+ ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ವೆಬ್ಹೂಕ್ಗಳನ್ನು ಪರಿವರ್ತಿಸುವುದರಿಂದ API ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ಏಕಕಾಲದಲ್ಲಿ ಮತ್ತು ಮನಬಂದಂತೆ ಕೆಲಸ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ v1alpha2
, v1alpha3
, v1beta1
и v1
. ಇವುಗಳೊಂದಿಗೆ, ನಿಮ್ಮ ಹಳೆಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬದಲಾಯಿಸದೆ ಅಥವಾ ಮರುಹಂಚಿಕೆ ಮಾಡದೆಯೇ ನೀವು API ನ ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ನಿಮ್ಮ ಮ್ಯಾನಿಫೆಸ್ಟ್ಗಳನ್ನು API ಗೆ ಅಪ್ಗ್ರೇಡ್ ಮಾಡಲು ನಾವು ಹೆಚ್ಚು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ v1
, ಹಿಂದಿನ ಆವೃತ್ತಿಗಳನ್ನು ಶೀಘ್ರದಲ್ಲೇ ಅಸಮ್ಮತಿಸಲಾಗುವುದು. ಬಳಕೆದಾರರು legacy
cert-manager ನ ಆವೃತ್ತಿಗಳು ಇನ್ನೂ ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುತ್ತದೆ v1
, ಅಪ್ಗ್ರೇಡ್ ಹಂತಗಳನ್ನು ಕಾಣಬಹುದು
kubectl cert-manager ಸ್ಥಿತಿ ಆಜ್ಞೆ
ನಮ್ಮ ವಿಸ್ತರಣೆಯಲ್ಲಿ ಹೊಸ ಸುಧಾರಣೆಗಳೊಂದಿಗೆ kubectl
ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡದಿರುವಿಕೆಗೆ ಸಂಬಂಧಿಸಿದ ಸಮಸ್ಯೆಗಳನ್ನು ತನಿಖೆ ಮಾಡುವುದು ಸುಲಭವಾಯಿತು. kubectl cert-manager status
ಈಗ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ಏನು ನಡೆಯುತ್ತಿದೆ ಎಂಬುದರ ಕುರಿತು ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ನೀಡುತ್ತದೆ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರ ವಿತರಣೆಯ ಹಂತವನ್ನು ತೋರಿಸುತ್ತದೆ.
ವಿಸ್ತರಣೆಯನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ನೀವು ಚಲಾಯಿಸಬಹುದು kubectl cert-manager status certificate <имя-сертификата>
, ಇದು ನೀಡಿದ ಹೆಸರಿನೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಹುಡುಕುತ್ತದೆ ಮತ್ತು ACME ನಿಂದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿದರೆ ಪ್ರಮಾಣಪತ್ರ ವಿನಂತಿ, ರಹಸ್ಯ, ವಿತರಕರು ಮತ್ತು ಆದೇಶ ಮತ್ತು ಸವಾಲುಗಳಂತಹ ಯಾವುದೇ ಸಂಬಂಧಿತ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಹುಡುಕುತ್ತದೆ.
ಇನ್ನೂ ಸಿದ್ಧವಾಗಿಲ್ಲದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಡೀಬಗ್ ಮಾಡುವ ಉದಾಹರಣೆ:
$ kubectl cert-manager status certificate acme-certificate
Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Issuing 18m cert-manager Issuing certificate as Secret does not exist
Normal Generated 18m cert-manager Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
Normal Requested 18m cert-manager Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
Name: acme-issuer
Kind: Issuer
Conditions:
Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
Name: acme-certificate-qp5dm
Namespace: default
Conditions:
Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal OrderCreated 18m cert-manager Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
Name: acme-certificate-qp5dm-1319513028
State: pending, Reason:
Authorizations:
URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false
ಪ್ರಮಾಣಪತ್ರದ ವಿಷಯಗಳ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಜ್ಞೆಯು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಲೆಟ್ಸೆನ್ಕ್ರಿಪ್ಟ್ ನೀಡಿದ ಪ್ರಮಾಣಪತ್ರಕ್ಕಾಗಿ ವಿವರವಾದ ಉದಾಹರಣೆ:
$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
Name: example
Issuer Country: US
Issuer Organisation: Let's Encrypt
Issuer Common Name: Let's Encrypt Authority X3
Key Usage: Digital Signature, Key Encipherment
Extended Key Usages: Server Authentication, Client Authentication
Public Key Algorithm: RSA
Signature Algorithm: SHA256-RSA
Subject Key ID: 65081d98a9870764590829b88c53240571997862
Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
Events: <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]
ಇತ್ತೀಚಿನ ಸ್ಥಿರ ಕುಬರ್ನೆಟ್ಸ್ API ಗಳನ್ನು ಬಳಸುವುದು
ಕುಬರ್ನೆಟ್ಸ್ CRD ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಮೊದಲ ವ್ಯಕ್ತಿಗಳಲ್ಲಿ Cert-ಮ್ಯಾನೇಜರ್ ಒಬ್ಬರು. ಇದು, ಮತ್ತು 1.11 ವರೆಗಿನ ಕುಬರ್ನೆಟ್ಸ್ ಆವೃತ್ತಿಗಳಿಗೆ ನಮ್ಮ ಬೆಂಬಲ, ನಾವು ಪರಂಪರೆಯನ್ನು ಬೆಂಬಲಿಸುವ ಅಗತ್ಯವಿದೆ ಎಂದರ್ಥ apiextensions.k8s.io/v1beta1
ನಮ್ಮ CRD ಗಳಿಗೂ admissionregistration.k8s.io/v1beta1
ನಮ್ಮ ವೆಬ್ಹೂಕ್ಗಳಿಗಾಗಿ. ಅವುಗಳನ್ನು ಈಗ ಅಸಮ್ಮತಿಸಲಾಗಿದೆ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್ನಲ್ಲಿ ಆವೃತ್ತಿ 1.22 ರಿಂದ ತೆಗೆದುಹಾಕಲಾಗುತ್ತದೆ. ನಮ್ಮ 1.0 ನೊಂದಿಗೆ ನಾವು ಈಗ ಸಂಪೂರ್ಣ ಬೆಂಬಲವನ್ನು ನೀಡುತ್ತೇವೆ apiextensions.k8s.io/v1
и admissionregistration.k8s.io/v1
ಕುಬರ್ನೆಟ್ಸ್ 1.16 (ಅವರನ್ನು ಅಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ) ಮತ್ತು ಹೊಸದು. ಹಿಂದಿನ ಆವೃತ್ತಿಗಳ ಬಳಕೆದಾರರಿಗೆ, ನಾವು ಬೆಂಬಲವನ್ನು ನೀಡುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತೇವೆ v1beta1
ನಮ್ಮಲ್ಲಿ legacy
ಆವೃತ್ತಿಗಳು.
ಸುಧಾರಿತ ಲಾಗಿಂಗ್
ಈ ಬಿಡುಗಡೆಯಲ್ಲಿ, ನಾವು ಲಾಗಿಂಗ್ ಲೈಬ್ರರಿಯನ್ನು ನವೀಕರಿಸಿದ್ದೇವೆ klog/v2
, ಕುಬರ್ನೆಟ್ಸ್ 1.19 ರಲ್ಲಿ ಬಳಸಲಾಗಿದೆ. ನಾವು ಬರೆಯುವ ಪ್ರತಿಯೊಂದು ಜರ್ನಲ್ ಅನ್ನು ಸಹ ನಾವು ಪರಿಶೀಲಿಸುತ್ತೇವೆ, ಅದಕ್ಕೆ ಸೂಕ್ತವಾದ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುತ್ತೇವೆ. ಇದರಿಂದ ನಾವು ಮಾರ್ಗದರ್ಶನ ಪಡೆದಿದ್ದೇವೆ Error
(ಮಟ್ಟ 0), ಇದು ಪ್ರಮುಖ ದೋಷಗಳನ್ನು ಮಾತ್ರ ಮುದ್ರಿಸುತ್ತದೆ ಮತ್ತು ಕೊನೆಗೊಳ್ಳುತ್ತದೆ Trace
(ಮಟ್ಟ 5) ಇದು ನಿಖರವಾಗಿ ಏನು ನಡೆಯುತ್ತಿದೆ ಎಂಬುದನ್ನು ತಿಳಿಯಲು ನಿಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಈ ಬದಲಾವಣೆಯೊಂದಿಗೆ, ಸರ್ಟ್-ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುವಾಗ ನಿಮಗೆ ಡೀಬಗ್ ಮಾಹಿತಿ ಅಗತ್ಯವಿಲ್ಲದಿದ್ದರೆ ನಾವು ಲಾಗ್ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆಗೊಳಿಸಿದ್ದೇವೆ.
ಸಲಹೆ: ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕರು ಡೀಫಾಲ್ಟ್ ಆಗಿ ಹಂತ 2 ನಲ್ಲಿ ಚಲಿಸುತ್ತಾರೆ (Info
), ನೀವು ಇದನ್ನು ಬಳಸಿಕೊಂಡು ಅತಿಕ್ರಮಿಸಬಹುದು global.logLevel
ಹೆಲ್ಮ್ಚಾರ್ಟ್ನಲ್ಲಿ.
ಗಮನಿಸಿ: ದೋಷನಿವಾರಣೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಲಾಗ್ಗಳನ್ನು ನೋಡುವುದು ಕೊನೆಯ ಉಪಾಯವಾಗಿದೆ. ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗಾಗಿ ನಮ್ಮ ಪರಿಶೀಲಿಸಿ
ಸಂಪಾದಕರಾದ ಎನ್.ಬಿ.: ಕುಬರ್ನೆಟ್ಸ್ನ ಹುಡ್ ಅಡಿಯಲ್ಲಿ ಎಲ್ಲವೂ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು, ಅಭ್ಯಾಸ ಮಾಡುವ ಶಿಕ್ಷಕರಿಂದ ಅಮೂಲ್ಯವಾದ ಸಲಹೆಯನ್ನು ಪಡೆಯಿರಿ ಮತ್ತು ಗುಣಮಟ್ಟದ ತಾಂತ್ರಿಕ ಬೆಂಬಲ ಸಹಾಯವನ್ನು ಪಡೆಯಿರಿ, ನೀವು ಆನ್ಲೈನ್ ತೀವ್ರತೆಗಳಲ್ಲಿ ಭಾಗವಹಿಸಬಹುದು
ACME ಸುಧಾರಣೆಗಳು
ACME ಬಳಸಿಕೊಂಡು ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ನಿಂದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವುದಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕರ ಅತ್ಯಂತ ಸಾಮಾನ್ಯ ಬಳಕೆಯು ಬಹುಶಃ ಸಂಬಂಧಿಸಿದೆ. ನಮ್ಮ ACME ನೀಡುವವರಿಗೆ ಎರಡು ಸಣ್ಣ ಆದರೆ ಪ್ರಮುಖ ಸುಧಾರಣೆಗಳನ್ನು ಸೇರಿಸಲು ಸಮುದಾಯ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಬಳಸುವುದಕ್ಕಾಗಿ ಆವೃತ್ತಿ 1.0 ಗಮನಾರ್ಹವಾಗಿದೆ.
ಖಾತೆ ಕೀ ಉತ್ಪಾದನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ
ನೀವು ದೊಡ್ಡ ಸಂಪುಟಗಳಲ್ಲಿ ACME ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿದರೆ, ನೀವು ಬಹು ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಒಂದೇ ಖಾತೆಯನ್ನು ಬಳಸುವ ಸಾಧ್ಯತೆಯಿದೆ, ಆದ್ದರಿಂದ ನಿಮ್ಮ ಪ್ರಮಾಣಪತ್ರ ವಿತರಣೆಯ ನಿರ್ಬಂಧಗಳು ಎಲ್ಲರಿಗೂ ಅನ್ವಯಿಸುತ್ತವೆ. ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ರಹಸ್ಯವನ್ನು ನಕಲಿಸುವಾಗ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕರಲ್ಲಿ ಇದು ಈಗಾಗಲೇ ಸಾಧ್ಯವಾಗಿದೆ privateKeySecretRef
. ಈ ಬಳಕೆಯ ಪ್ರಕರಣವು ಸಾಕಷ್ಟು ದೋಷಯುಕ್ತವಾಗಿತ್ತು, ಏಕೆಂದರೆ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕರು ಸಹಾಯಕವಾಗಲು ಪ್ರಯತ್ನಿಸಿದರು ಮತ್ತು ಅದು ಕಂಡುಬಂದಿಲ್ಲವಾದರೆ ಹೊಸ ಖಾತೆಯ ಕೀಲಿಯನ್ನು ಸಂತೋಷದಿಂದ ರಚಿಸಿದರು. ಅದಕ್ಕಾಗಿಯೇ ನಾವು ಸೇರಿಸಿದ್ದೇವೆ disableAccountKeyGeneration
ನೀವು ಈ ಆಯ್ಕೆಯನ್ನು ಹೊಂದಿಸಿದರೆ ಈ ನಡವಳಿಕೆಯಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಲು true
- cert-manager ಒಂದು ಕೀಲಿಯನ್ನು ರಚಿಸುವುದಿಲ್ಲ ಮತ್ತು ಅದನ್ನು ಖಾತೆಯ ಕೀಲಿಯೊಂದಿಗೆ ಒದಗಿಸಲಾಗಿಲ್ಲ ಎಂದು ನಿಮಗೆ ಎಚ್ಚರಿಕೆ ನೀಡುತ್ತದೆ.
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
privateKeySecretRef:
name: example-issuer-account-key
disableAccountKeyGeneration: false
ಆದ್ಯತೆಯ ಚೈನ್
ಸೆಪ್ಟೆಂಬರ್ 29 ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡೋಣ ISRG Root
. ಕ್ರಾಸ್ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬದಲಿಸಲಾಗುತ್ತದೆ Identrust
. ಈ ಬದಲಾವಣೆಗೆ ಪ್ರಮಾಣಪತ್ರ-ನಿರ್ವಾಹಕ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಬದಲಾವಣೆಗಳ ಅಗತ್ಯವಿಲ್ಲ, ಈ ದಿನಾಂಕದ ನಂತರ ನೀಡಲಾದ ಎಲ್ಲಾ ನವೀಕರಿಸಿದ ಅಥವಾ ಹೊಸ ಪ್ರಮಾಣಪತ್ರಗಳು ಹೊಸ ರೂಟ್ CA ಅನ್ನು ಬಳಸುತ್ತವೆ.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡೋಣ ಈಗಾಗಲೇ ಈ CA ನೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಸಹಿ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು ACME ಮೂಲಕ ಅವುಗಳನ್ನು "ಪರ್ಯಾಯ ಪ್ರಮಾಣಪತ್ರ ಸರಣಿ" ಎಂದು ನೀಡುತ್ತದೆ. ಈ ಸರ್ಟ್-ಮ್ಯಾನೇಜರ್ ಆವೃತ್ತಿಯಲ್ಲಿ, ವಿತರಕರ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಈ ಸರಪಳಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿಸಲು ಸಾಧ್ಯವಿದೆ. ನಿಯತಾಂಕದಲ್ಲಿ preferredChain
ಬಳಕೆಯಲ್ಲಿರುವ CA ಯ ಹೆಸರನ್ನು ನೀವು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು, ಅದರೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲಾಗುತ್ತದೆ. ವಿನಂತಿಗೆ ಹೊಂದಿಕೆಯಾಗುವ CA ಪ್ರಮಾಣಪತ್ರ ಲಭ್ಯವಿದ್ದರೆ, ಅದು ನಿಮಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡುತ್ತದೆ. ಇದು ಆದ್ಯತೆಯ ಆಯ್ಕೆಯಾಗಿದೆ ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ, ಏನೂ ಕಂಡುಬರದಿದ್ದರೆ, ಡೀಫಾಲ್ಟ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲಾಗುತ್ತದೆ. ACME ನೀಡುವವರ ಬದಿಯಲ್ಲಿ ಪರ್ಯಾಯ ಸರಪಳಿಯನ್ನು ಅಳಿಸಿದ ನಂತರವೂ ನಿಮ್ಮ ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀವು ನವೀಕರಿಸುತ್ತೀರಿ ಎಂದು ಇದು ಖಚಿತಪಡಿಸುತ್ತದೆ.
ಈಗಾಗಲೇ ಇಂದು ನೀವು ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ವೀಕರಿಸಬಹುದು ISRG Root
, ಆದ್ದರಿಂದ:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "ISRG Root X1"
ನೀವು ಸರಪಳಿಯನ್ನು ಬಿಡಲು ಬಯಸಿದರೆ IdenTrust
- ಈ ಆಯ್ಕೆಯನ್ನು ಹೊಂದಿಸಿ DST Root CA X3
:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "DST Root CA X3"
ಈ ಮೂಲ CA ಅನ್ನು ಶೀಘ್ರದಲ್ಲೇ ಅಸಮ್ಮತಿಸಲಾಗುವುದು ಎಂಬುದನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ, ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಈ ಸರಣಿಯನ್ನು ಸೆಪ್ಟೆಂಬರ್ 29, 2021 ರವರೆಗೆ ಸಕ್ರಿಯವಾಗಿರಿಸುತ್ತದೆ.
ಮೂಲ: www.habr.com