ProHoster > Π‘Π»ΠΎΠ³ > administratio > cert-procurator 1.0 dimisit

cert-procurator 1.0 dimisit

Si quaeras fabrum peritus, sapiens, quid de certo procuratore sentiat et cur omnes utatur, artifex gemet, secreto eum amplectetur ac fesse dicat: β€œOmnes eo utitur, quia sanae res non sunt. Mures nostri clamant, pungunt se, sed cum hoc cacto vivere pergunt. Cur amamus? Quia operatur. Cur non amamus? Quia novae versiones continenter emittuntur qui novis notis utuntur. Botrum renovandum etiam atque etiam habes. Et antiquae versiones cessant opus, quia coniuratio est et magnae confusionis arcana Β».

Sed tincidunt id magna cert-procurator 1.0 omnia mutabunt.

Credimus?

cert-procurator 1.0 dimisit

Cert-procurator incola Kubernetes certificatorium administrationis moderatoris est. Adhiberi potest testimonia e variis auctoribus proferre: Lets Encrypt, HashiCorp Vault, Venafi, signandi et signati clavis paria. Etiam permittit ut claves ad diem servare et conatus ad testimonium renovare automatice statuto tempore antequam exspiraant. Procurator certus in kube-lego fundatur, et etiam artificiis quibusdam aliis similibus inceptis adhibitis, ut kube-cert-procurator.

Dimittis Praecipua

Cum versione 1.0 signum fidei in tribus annis progressionis consilii certi procuratoris ponimus. Hoc tempore signanter in functionality et stabilitate est, sed maxime in communitate. Hodie multos homines videmus utentes eo ut ligaturas suas Kubernetes obtineant, necnon eam foveant in varias partes oecosystematis. Fasciculum cimicum in novissima 16 solvo fixum. et quod fractum est, ruptum est. Plures visitationes API ad commercium cum usoribus emendaverunt. Nos 1500 quaestiones in GitHub decrevimus, cum etiam plures petitiones ex 253 membris communitatis trahere.

Solvendo 1.0 publice declaramus certum procuratorem esse consilium perfectum. Promittimus etiam API compatible servare v1.

Multas gratias omnibus omnibus, qui nos adiuverunt omnes hos tres annos procuratorem creare! Versio 1.0 sit prima multarum et magnarum futurarum.

Dimittere 1.0 stabilis emissio est cum pluribus locis prioritatis:

  • v1 API;

  • bigas kubectl cert-manager statusad auxilium resolvere problemata;

  • Novissima stabilitate utens Kubernetes APIs;

  • Improved logging;

  • ACME EMENDATIONES.

Vide ut notas renovationis legere ante upgrading.

API v1

Version v0.16 laboraverunt cum API v1beta1. Hoc additae sunt nonnullae structurae mutationes et etiam documenta campi API emendaverunt. Version 1.0 builds on this all with an API v1. Hoc API primum nostrum firmum est, simulque iam pignoribus datis convenientiae, sed cum API. v1 Compatibilitatem annis futuris ponere promittimus.

Mutationes factae (nota: nostra conversio instrumenta tibi omnia curabunt);

Testimonium:

  • emailSANs nunc dicitur emailAddresses

  • uriSANs - uris

Hae mutationes convenientiam addunt cum aliis SANs (subjectis alt nominibus; proxime. translator) , nec non cum Go API. API hoc vocabulum ab nostris removemus.

update

Si Kubernetes 1.16+ uteris - convertendi telas sinet te laborare cum API versionibus simul et compagem v1alpha2, v1alpha3, v1beta1 ΠΈ v1. Cum illis, nova versione API uti potes, nisi mutata vel vetustate facultates tuas restituas. Vehementer commendamus upgrading tua manifestat API v1ut prius mox deprecatur. Users legacy versiones cert-procurator adhuc tantum aditus ad v1, Renovatio gradus inveniri potest hic.

kubectl cert-procurator status imperium

Cum novis incrementis in extensio est kubectl Facilius facta est quaestiones pervestigare cum libellorum non editae. kubectl cert-manager status nunc multo magis notitias praebet circa ea quae cum libellis aguntur, et etiam spectacula ostendit quibus editur testimonium.

Post extensionem installing vos can run " kubectl cert-manager status certificate <имя-сСртификата>, quae libellum cum nomine determinato et quibusvis facultatibus adiunctis exquiret, ut certificatorium Request, Secret, Issuer, et Ordo et Provocationes in casu libellorum de ACME.

Exemplum debugging certificatorium nondum paratum;

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

Manipulus potest etiam plus discere de contentis certificatorii. Exemplum Details pro libellum edita a Letsencrypt:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

Leverage novissimum stabile Kubernetes APIs

Certo-procurator unus erat primi ad efficiendum Kubernetes CRDs. Hoc, nostro auxilio coniunctum cum versionibus Kubernetes usque ad 1.11, significavit nobis opus esse ad legatum sustentandum apiextensions.k8s.io/v1beta1 nobis quoque CRDs admissionregistration.k8s.io/v1beta1 pro nostris webhooks. Hae nunc deprecatae sunt et in Kubernetes tamquam versionis 1.22. Cum 1.0 nostro nunc plenam praebemus subsidium apiextensions.k8s.io/v1 ΠΈ admissionregistration.k8s.io/v1 ad Kubernetes 1.16 (ubi addita sunt) et postea. Pro usoribus priorum versionum, subsidium praebemus v1beta1 in nobis legacy versiones.

Improved logging

In hac versione renovavimus logging bibliothecam ad klog/v2quae leguntur apud Kubernetes 1.19. Nos quoque singulas emporium recensere scribemus ut idoneus gradus tribuatur. Ducti per hoc sumus ducatum Kubernetes. Quinque sunt (enim sex; proxime. translator) Logging levels incipiens a * Error (campester 0), qui tantum errores magni ponderis imprimit et cum terminatur Trace (level 5), quod proderit tibi diligenter quid agatur. Hac mutatione numerum tignarum reduximus si non opus sit debugging informationibus cum cert-procurator currit.

Indicium: per default cert-procurator decurrit ad planum 2 (Info) Hoc uti potes nolens oboedire global.logLevel apud Helm chart.

Nota: Tigna recensere, est ultimum recursum cum sollicitudine. Pro magis notitia nostra Lorem ducibus.

Editor scriptor NB: Plus discere quomodo omnia opera sub cucullo Kubernetensium, magni consilii capias a magistris exercendis, necnon subsidii technici magni pretii, interesse potes in curriculis intensivis online. Kubernetes Baseid quod fiet 28-30 Sept Kubernetes Megaid quod fiet Octobris 14-16.

ACME Improvements

Communis usus certi-procurator verisimiliter refertur ad libellos edendos de Encrypt utens ACME. Versione 1.0 notabilis est ad opiniones communitatis utendas addere duas parvas sed magnas emendationes nostris ACME issuer.

Ratio Key generatio inactivare

Si ACME libellorum in magnis voluminibus uteris, eandem rationem in pluribus racemis verisimiliter uteris, ideo restrictiones testimoniales tuae ad omnes applicabuntur. Hoc iam fieri potuit in cert-procurator cum exscribendis arcanum specificatis privateKeySecretRef. Hic usus casus satis buggy fuit quia certus procurator utilia et feliciter conata est novam rationem clavem condidit si unam invenire non potuit. Ut wisi enim addimus disableAccountKeyGenerationtueri ab hac agendi ratione hanc optionem est true - Procurator cert-non generabit clavem et te moneo quod ratio clavem non datam.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

Maluit Chain

Septembris 29 Lets Encrypt ibimus radix certificatorium ad auctoritatem tuum ISRG Root. Crucem-signati testimonium erit reponi cum Identrust. Haec mutatio non requirit mutationes ad certos-procurator unctiones, omnes renovationes vel novae testimoniales post hunc diem editae novam radicem CA adhibebunt.

Encrypt iam signat libellos cum hac CA et eas ut "alternam catenam libellum" per ACME offert. Haec versio cert-procurator facultatem habet accessum ad has catenulas in uncinis editar. In parametri preferredChain Nomen CA nominare potes ut testimonium proferas. Si testimonium CA praesto est quod petitioni congruit, libellum tibi dabit. Quaeso nota hanc esse optionem praepositam: si nihil inveniatur, defalta edetur libellum. Hoc efficiet ut testimonium tuum adhuc renoves, deleta alterna catena in ACME issuer latus.

Hodie signatum testimonium recipere potes ISRG Root, Sic;

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

Si mavis excedere catenam IdenTrust - parametri pone hoc DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

Nota quaeso hanc radicem CA mox deprecandam esse, Encrypt hanc catenam activam servabit usque ad diem 29 Septembris, 2021 .

Source: www.habr.com