cert-manager 1.0 출시

경험 많고 현명한 엔지니어에게 cert-manager에 대한 생각과 모두가 그것을 사용하는 이유를 묻는다면 전문가는 한숨을 쉬고 그를 안아주고 피곤하게 말할 것입니다. 우리 생쥐는 울고 찌르지 만이 선인장과 함께 계속 살고 있습니다. 우리는 왜 사랑합니까? 작동하기 때문입니다. 우리는 왜 사랑하지 않습니까? 새로운 기능을 사용하는 새 버전이 계속해서 나오기 때문입니다. 그리고 클러스터를 계속해서 업데이트해야 합니다. 그리고 이전 버전은 작동을 멈춥니다. 음모와 위대한 신비한 샤머니즘이 있기 때문입니다.

하지만 개발자들은 이렇게 주장합니다. 인증서 관리자 1.0 모든 것이 바뀔 것입니다.

믿어?

Cert-manager는 기본 Kubernetes 인증서 관리 컨트롤러입니다. Let's Encrypt, HashiCorp Vault, Venafi, 서명 및 자체 서명 키 쌍과 같은 다양한 소스에서 인증서를 발급하는 데 사용할 수 있습니다. 또한 만료 날짜까지 키를 최신 상태로 유지할 수 있으며 만료되기 전에 지정된 시간에 인증서를 자동으로 갱신하려고 시도합니다. Cert-manager는 kube-lego를 기반으로 하며 kube-cert-manager와 같은 다른 유사한 프로젝트의 일부 트릭도 사용했습니다.

릴리즈 노트

버전 1.0으로 우리는 cert-manager 프로젝트의 16년 개발에 대한 신뢰를 표시했습니다. 이 기간 동안 기능과 안정성 면에서 크게 발전했지만 무엇보다 커뮤니티에서 발전했습니다. 오늘날 많은 사람들이 이를 사용하여 Kubernetes 클러스터를 보호하고 생태계의 다양한 부분에 배포하는 것을 볼 수 있습니다. 지난 1500개 릴리스에서 많은 버그가 수정되었습니다. 그리고 깨져야 할 것이 깨졌습니다. API 작업을 위해 여러 번 방문하여 사용자와의 상호 작용이 개선되었습니다. 우리는 253명의 커뮤니티 회원으로부터 더 많은 풀 요청을 받아 GitHub에서 XNUMX개의 문제를 해결했습니다.

1.0 릴리스와 함께 우리는 cert-manager가 성숙한 프로젝트임을 공식적으로 선언합니다. 또한 API 호환성을 유지할 것을 약속합니다. v1.

1.0년 동안 cert-manager를 만드는 데 도움을 주신 모든 분들께 감사드립니다! 버전 XNUMX이 앞으로 다가올 많은 큰 일들 중 첫 번째가 되도록 하십시오.

릴리스 1.0은 몇 가지 우선 순위 영역이 있는 안정적인 릴리스입니다.

• v1 불;

• 팀 kubectl cert-manager status, 문제 분석을 돕기 위해;

• 안정적인 최신 Kubernetes API 사용

• 향상된 로깅;

• 애크미 개선.

업그레이드하기 전에 업그레이드 노트를 반드시 읽으십시오.

API v1

버전 v0.16은 API와 함께 작동했습니다. v1beta1. 이로 인해 일부 구조적 변경 사항이 추가되었으며 API 필드 문서도 개선되었습니다. 버전 1.0은 API를 사용하여 이를 기반으로 합니다. v1. 이 API는 우리의 첫 번째 안정적인 API이며 동시에 이미 호환성을 보장했지만 API를 사용합니다. v1 우리는 앞으로 몇 년 동안 호환성을 유지할 것을 약속합니다.

변경 사항(참고: 변환 도구가 모든 것을 처리합니다):

자격증:

• emailSANs 지금 호출 emailAddresses

• uriSANs - uris

이러한 변경 사항은 다른 SAN과의 호환성을 추가합니다(제목 대체 이름, 약. 역자), Go API와 함께 사용할 수 있습니다. API에서 이 용어를 제거하고 있습니다.

업데이트

Kubernetes 1.16 이상을 사용하는 경우 웹후크를 변환하면 API 버전과 동시에 원활하게 작업할 수 있습니다. v1alpha2, v1alpha3, v1beta1 и v1. 이를 통해 이전 리소스를 변경하거나 재배포하지 않고도 새 버전의 API를 사용할 수 있습니다. 매니페스트를 API로 업그레이드하는 것이 좋습니다. v1, 이전 버전은 곧 지원 중단될 예정입니다. 사용자 legacy cert-manager 버전은 여전히 ​​액세스 권한만 갖습니다. v1, 업그레이드 단계를 찾을 수 있습니다. 여기에.

kubectl cert-manager 상태 명령

확장 기능이 새롭게 개선되어 kubectl 인증서 미발급과 관련된 문제를 조사하기가 더 쉬워졌습니다. kubectl cert-manager status 이제 인증서에 대한 자세한 정보를 제공하고 인증서 발급 단계도 보여줍니다.

확장 프로그램을 설치한 후 다음을 실행할 수 있습니다. kubectl cert-manager status certificate <имя-сертификата>, ACME의 인증서를 사용하는 경우 주어진 이름과 CertificateRequest, Secret, Issuer 및 Order and Challenges와 같은 관련 리소스로 인증서를 조회합니다.

아직 준비되지 않은 인증서 디버깅의 예:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

명령은 또한 인증서의 내용에 대해 자세히 알아보는 데 도움이 될 수 있습니다. Letsencrypt에서 발급한 인증서에 대한 자세한 예:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

안정적인 최신 Kubernetes API 사용

Cert-manager는 Kubernetes CRD를 최초로 구현한 업체 중 하나입니다. 이것과 1.11까지의 Kubernetes 버전에 대한 우리의 지원은 레거시를 지원해야 한다는 것을 의미했습니다. apiextensions.k8s.io/v1beta1 CRD도 마찬가지입니다. admissionregistration.k8s.io/v1beta1 웹훅을 위해. 이제 더 이상 사용되지 않으며 Kubernetes 버전 1.22에서 제거됩니다. 1.0에서는 이제 완전한 지원을 제공합니다. apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 Kubernetes 1.16(추가된 위치) 이상용. 이전 버전 사용자의 경우 계속해서 지원을 제공합니다. v1beta1 우리의 legacy 버전.

향상된 로깅

이 릴리스에서는 로깅 라이브러리를 다음으로 업데이트했습니다. klog/v2, Kubernetes 1.19에서 사용됩니다. 또한 작성하는 각 저널을 검토하여 적절한 수준이 지정되었는지 확인합니다. 우리는 이것에 의해 인도되었습니다. 쿠버네티스의 지침. XNUMX가지가 있습니다(실제로는 XNUMX가지, 약. 역자)부터 시작하는 로깅 수준 Error (수준 0), 중요한 오류만 인쇄하고 다음으로 끝납니다. Trace (레벨 5) 진행 상황을 정확히 파악하는 데 도움이 됩니다. 이 변경으로 cert-manager를 실행할 때 디버그 정보가 필요하지 않은 경우 로그 수를 줄였습니다.

팁: cert-manager는 기본적으로 레벨 2에서 실행됩니다(Info), 다음을 사용하여 이를 재정의할 수 있습니다. global.logLevel 헬름차트에서.

참고: 로그 보기는 문제 해결 시 최후의 수단입니다. 자세한 내용은 당사를 확인하십시오. 안내.

편집자의 n.b.: Kubernetes 내부에서 모든 것이 어떻게 작동하는지 자세히 알아보고, 실무 교사로부터 귀중한 조언을 얻고, 품질 기술 지원 지원을 받으려면 온라인 집중 교육에 참여할 수 있습니다. 쿠버네티스 베이스, 28월 30-XNUMX일에 개최되며, 쿠버네티스 메가14월 16~XNUMX일 개최됩니다.

애크미 개선

cert-manager의 가장 일반적인 용도는 아마도 ACME를 사용하여 Let's Encrypt에서 인증서를 발급하는 것과 관련이 있을 것입니다. 버전 1.0은 커뮤니티 피드백을 사용하여 ACME 발행자에 작지만 중요한 두 가지 개선 사항을 추가한 것으로 유명합니다.

계정 키 생성 비활성화

ACME 인증서를 대량으로 사용하는 경우 여러 클러스터에서 동일한 계정을 사용할 가능성이 높으므로 인증서 발급 제한이 모든 클러스터에 적용됩니다. 에 지정된 비밀을 복사할 때 cert-manager에서 이미 가능했습니다. privateKeySecretRef. 이 사용 사례는 cert-manager가 도움이 되려고 노력했고 찾지 못한 경우 기꺼이 새 계정 키를 생성했기 때문에 상당히 버그가 많았습니다. 그래서 추가했습니다. disableAccountKeyGeneration이 옵션을 다음으로 설정하면 이 동작으로부터 사용자를 보호합니다. true - cert-manager는 키를 생성하지 않으며 계정 키가 제공되지 않았음을 경고합니다.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

선호하는 체인

29월 XNUMX일 Let's Encrypt 지나갈 것이다 자신의 루트 CA에 ISRG Root. 교차 서명된 인증서는 다음으로 대체됩니다. Identrust. 이 변경 사항은 cert-manager 설정을 변경할 필요가 없으며 이 날짜 이후에 발급된 모든 업데이트된 인증서 또는 새 인증서는 새 루트 CA를 사용합니다.

Let's Encrypt는 이미 이 CA로 인증서에 서명하고 ACME를 통해 "대체 인증서 체인"으로 제공합니다. 이 버전의 cert-manager에서는 발급자 설정에서 이러한 체인에 대한 액세스를 설정할 수 있습니다. 매개변수에서 preferredChain 인증서가 발급될 사용 중인 CA의 이름을 지정할 수 있습니다. 요청과 일치하는 CA 인증서를 사용할 수 있는 경우 인증서를 발급합니다. 이것이 선호되는 옵션이며 아무것도 발견되지 않으면 기본 인증서가 발급됩니다. 이렇게 하면 ACME 발급자 측에서 대체 체인을 삭제한 후에도 인증서를 갱신할 수 있습니다.

이미 오늘 서명된 인증서를 받을 수 있습니다. ISRG Root, 그래서:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

체인을 떠나고 싶다면 IdenTrust - 이 옵션을 다음으로 설정 DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

이 루트 CA는 곧 사용이 중단될 예정이며 Let's Encrypt는 이 체인을 29년 2021월 XNUMX일까지 활성 상태로 유지합니다.

출처 : habr.com