cert-manager 1.0 रिलीझ केले

जर तुम्ही एखाद्या अनुभवी, हुशार अभियंत्याला प्रमाणपत्र-व्यवस्थापकाबद्दल त्याचे काय मत आहे आणि प्रत्येकजण ते का वापरतो हे विचारल्यास, विशेषज्ञ उसासे टाकेल, त्याला आत्मविश्वासाने मिठी मारेल आणि थकल्यासारखे म्हणेल: “प्रत्येकजण त्याचा वापर करतो, कारण कोणतेही विवेकी पर्याय नाहीत. आमचे उंदीर रडतात, टोचतात, परंतु या निवडुंगासह जगणे सुरू ठेवा. आपण प्रेम का करतो? कारण ते काम करते. आपण प्रेम का करत नाही? कारण नवनवीन आवृत्त्या सतत येत असतात ज्या नवनवीन वैशिष्ट्ये वापरतात. आणि तुम्हाला पुन्हा पुन्हा क्लस्टर अपडेट करावे लागेल. आणि जुन्या आवृत्त्या कार्य करणे थांबवतात, कारण एक षड्यंत्र आणि एक महान रहस्यमय शमनवाद आहे.

पण विकासकांचा असा दावा आहे प्रमाणपत्र-व्यवस्थापक 1.0 सर्व काही बदलेल.

आम्ही विश्वास ठेवू?

Cert-manager हा मूळ Kubernetes प्रमाणपत्र व्यवस्थापन नियंत्रक आहे. हे विविध स्त्रोतांकडून प्रमाणपत्रे जारी करण्यासाठी वापरले जाऊ शकते: लेट्स एन्क्रिप्ट, हॅशीकॉर्प व्हॉल्ट, वेनाफी, स्वाक्षरी आणि स्व-स्वाक्षरी केलेल्या की जोड्या. हे तुम्हाला कालबाह्यता तारखेनुसार की अद्ययावत ठेवण्यास देखील अनुमती देते आणि प्रमाणपत्रे कालबाह्य होण्यापूर्वी निर्दिष्ट वेळी स्वयंचलितपणे नूतनीकरण करण्याचा प्रयत्न करते. Cert-manager हे kube-lego वर आधारित आहे आणि kube-cert-manager सारख्या इतर तत्सम प्रकल्पांमधील काही युक्त्या देखील वापरल्या आहेत.

रिलीझ नोट्स

आवृत्ती 1.0 सह, आम्ही प्रमाणपत्र-व्यवस्थापक प्रकल्पाच्या तीन वर्षांच्या विकासासाठी विश्वासाची खूण ठेवतो. या काळात, ते कार्यक्षमतेत आणि स्थिरतेमध्ये लक्षणीयरीत्या विकसित झाले आहे, परंतु बहुतेक सर्व समुदायामध्ये. आज, अनेक लोक त्यांचे कुबर्नेट्स क्लस्टर्स सुरक्षित करण्यासाठी तसेच ते इकोसिस्टमच्या विविध भागांमध्ये तैनात करण्यासाठी वापरताना आपण पाहतो. शेवटच्या 16 रिलीझमध्‍ये अनेक बगचे निराकरण केले आहे. आणि जे तोडायला हवे होते ते तुटले आहे. API सह कार्य करण्यासाठी अनेक भेटींनी त्याचा वापरकर्त्यांशी संवाद सुधारला आहे. आम्ही 1500 समुदाय सदस्यांकडून अधिक पुल विनंत्यांसह GitHub वर 253 समस्यांचे निराकरण केले आहे.

1.0 च्या रिलीझसह, आम्ही अधिकृतपणे घोषित करतो की प्रमाणपत्र-व्यवस्थापक हा एक परिपक्व प्रकल्प आहे. आम्ही आमचे API सुसंगत ठेवण्याचे वचन देतो v1.

या तीन वर्षात आम्हाला सर्टिफिकेट मॅनेजर बनवण्यात मदत करणाऱ्या प्रत्येकाचे खूप खूप आभार! आवृत्ती 1.0 ही येणार्‍या अनेक मोठ्या गोष्टींपैकी पहिली असू द्या.

रिलीज 1.0 हे अनेक प्राधान्य क्षेत्रांसह स्थिर प्रकाशन आहे:

• v1 API;

• संघ kubectl cert-manager status, समस्या विश्लेषण मदत करण्यासाठी;

• नवीनतम स्थिर Kubernetes API वापरणे;

• सुधारित लॉगिंग;

• ACME सुधारणा.

अपग्रेड करण्यापूर्वी अपग्रेड नोट्स वाचण्याची खात्री करा.

API v1

आवृत्ती v0.16 ने API सह कार्य केले v1beta1. यामुळे काही संरचनात्मक बदल झाले आणि API फील्ड दस्तऐवजीकरण सुधारले. आवृत्ती 1.0 यावर API सह तयार होते v1. हे API आमचे पहिले स्थिर आहे, त्याच वेळी आम्ही आधीच अनुकूलतेची हमी दिली आहे, परंतु API सह v1 आम्ही पुढील वर्षांसाठी सुसंगतता राखण्याचे वचन देतो.

केलेले बदल (टीप: आमची रूपांतरण साधने तुमच्यासाठी सर्व गोष्टींची काळजी घेतात):

प्रमाणपत्र:

• emailSANs आता म्हणतात emailAddresses

• uriSANs - uris

हे बदल इतर SAN सह सुसंगतता जोडतात (विषय Alt नावे, अंदाजे अनुवादक), तसेच Go API सह. आम्ही आमच्या API मधून ही संज्ञा काढून टाकत आहोत.

अद्यतनित करा

तुम्ही Kubernetes 1.16+ वापरत असल्यास, वेबहुक रूपांतरित केल्याने तुम्हाला API आवृत्त्यांसह एकाच वेळी आणि अखंडपणे कार्य करण्याची अनुमती मिळेल. v1alpha2, v1alpha3, v1beta1 и v1. यासह, तुम्ही तुमची जुनी संसाधने न बदलता किंवा पुनर्नियोजन न करता API ची नवीन आवृत्ती वापरण्यास सक्षम असाल. तुमची मॅनिफेस्ट API वर श्रेणीसुधारित करण्याची आम्ही जोरदार शिफारस करतो v1, मागील आवृत्त्या लवकरच बहिष्कृत केल्या जातील. वापरकर्ते legacy cert-manager च्या आवृत्त्यांना अजूनही फक्त प्रवेश असेल v1, अपग्रेड पायऱ्या आढळू शकतात येथे.

kubectl प्रमाणपत्र-व्यवस्थापक स्थिती आदेश

आमच्या विस्तारामध्ये नवीन सुधारणांसह kubectl प्रमाणपत्रे न जारी करण्याशी संबंधित समस्यांचा शोध घेणे सोपे झाले. kubectl cert-manager status आता प्रमाणपत्रांचे काय चालले आहे याबद्दल बरीच माहिती देते आणि प्रमाणपत्र जारी करण्याचा टप्पा देखील दर्शवितो.

विस्तार स्थापित केल्यानंतर, आपण चालवू शकता kubectl cert-manager status certificate <имя-сертификата>, जे ACME कडून प्रमाणपत्रे वापरत असल्यास दिलेल्या नावासह प्रमाणपत्र आणि प्रमाणपत्र विनंती, गुप्त, जारीकर्ता, आणि ऑर्डर आणि आव्हाने यांसारखी कोणतीही संबंधित संसाधने पाहतील.

अद्याप तयार नसलेले प्रमाणपत्र डीबग करण्याचे उदाहरण:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

आदेश तुम्हाला प्रमाणपत्राच्या सामग्रीबद्दल अधिक जाणून घेण्यास मदत करू शकतात. Letsencrypt द्वारे जारी केलेल्या प्रमाणपत्रासाठी तपशीलवार उदाहरण:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

नवीनतम स्थिर Kubernetes API वापरणे

Cert-manager हे Kubernetes CRD ची अंमलबजावणी करणारे पहिले होते. हे, आणि 1.11 पर्यंतच्या Kubernetes आवृत्त्यांसाठी आमचे समर्थन, याचा अर्थ आम्हाला वारसा समर्थन करणे आवश्यक आहे apiextensions.k8s.io/v1beta1 आमच्या CRD साठी देखील admissionregistration.k8s.io/v1beta1 आमच्या वेबहुकसाठी. ते आता नापसंत केले गेले आहेत आणि आवृत्ती 1.22 मधून Kubernetes मध्ये काढले जातील. आमच्या 1.0 सह आम्ही आता पूर्ण समर्थन ऑफर करतो apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 Kubernetes 1.16 साठी (जिथे ते जोडले गेले होते) आणि नवीन. मागील आवृत्त्यांच्या वापरकर्त्यांसाठी, आम्ही समर्थन देणे सुरू ठेवतो v1beta1 आमच्यामध्ये legacy आवृत्त्या

सुधारित लॉगिंग

या प्रकाशनात, आम्ही लॉगिंग लायब्ररी अपडेट केली आहे klog/v2, Kubernetes 1.19 मध्ये वापरले. आम्ही लिहित असलेल्या प्रत्येक जर्नलचे योग्य स्तर नियुक्त केले आहे याची खात्री करण्यासाठी आम्ही त्याचे पुनरावलोकन देखील करतो. याबाबत आम्हाला मार्गदर्शन करण्यात आले Kubernetes कडून मार्गदर्शन. पाच आहेत (खरं तर सहा, अंदाजे अनुवादक) पासून सुरू होणारी लॉगिंग पातळी Error (स्तर 0), जे केवळ महत्त्वाच्या त्रुटी मुद्रित करते आणि यासह समाप्त होते Trace (स्तर 5) जे तुम्हाला नक्की काय चालले आहे हे जाणून घेण्यास मदत करेल. या बदलासह, प्रमाणपत्र-व्यवस्थापक चालवताना तुम्हाला डीबग माहितीची आवश्यकता नसल्यास आम्ही लॉगची संख्या कमी केली आहे.

टीप: प्रमाणपत्र-व्यवस्थापक डीफॉल्टनुसार स्तर 2 वर चालतो (Info), तुम्ही हे वापरून अधिलिखित करू शकता global.logLevel हेल्मचार्ट मध्ये.

टीप: समस्यानिवारण करताना लॉग पाहणे हा शेवटचा उपाय आहे. अधिक माहितीसाठी आमचे पहा नेतृत्व.

संपादकाचे एन.बी.: हे सर्व कुबर्नेट्सच्या हुड अंतर्गत कसे कार्य करते याबद्दल अधिक जाणून घेण्यासाठी, सराव करणार्‍या शिक्षकांकडून मौल्यवान सल्ला मिळवा, तसेच दर्जेदार तांत्रिक सहाय्य मदत मिळवा, तुम्ही ऑनलाइन गहन कार्यक्रमांमध्ये भाग घेऊ शकता. कुबर्नेट्स बेस, जे सप्टेंबर 28-30 आयोजित केले जाईल, आणि Kubernetes मेगाजे 14-16 ऑक्टोबर रोजी होणार आहे.

ACME सुधारणा

cert-manager चा सर्वात सामान्य वापर कदाचित ACME वापरून Let's Encrypt मधून प्रमाणपत्रे जारी करण्याशी संबंधित आहे. आमच्या ACME जारीकर्त्यामध्ये दोन लहान पण महत्त्वाच्या सुधारणा जोडण्यासाठी समुदाय अभिप्राय वापरण्यासाठी आवृत्ती 1.0 उल्लेखनीय आहे.

खाते की निर्मिती अक्षम करा

तुम्ही ACME प्रमाणपत्रे मोठ्या प्रमाणात वापरत असल्यास, तुम्ही एकाधिक क्लस्टरवर समान खाते वापरण्याची शक्यता आहे, त्यामुळे तुमचे प्रमाणपत्र जारी करण्याचे निर्बंध त्या सर्वांना लागू होतील. मध्ये निर्दिष्ट केलेले रहस्य कॉपी करताना प्रमाणपत्र-व्यवस्थापकामध्ये हे आधीच शक्य होते privateKeySecretRef. हे वापर प्रकरण खूपच बग्गी होते, कारण प्रमाणपत्र-व्यवस्थापकाने उपयुक्त होण्याचा प्रयत्न केला आणि एक नवीन खाते की सापडली नाही तर आनंदाने तयार केली. म्हणूनच आम्ही जोडले disableAccountKeyGenerationआपण हा पर्याय सेट केल्यास या वर्तनापासून आपले संरक्षण करण्यासाठी true - प्रमाणपत्र-व्यवस्थापक की व्युत्पन्न करणार नाही आणि तुम्हाला चेतावणी देईल की ती खाते की प्रदान केलेली नाही.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

पसंतीची साखळी

29 सप्टेंबर चला एनक्रिप्ट करूया पास होईल तुमच्या स्वतःच्या रूट CA ला ISRG Root. क्रॉस-स्वाक्षरी केलेले प्रमाणपत्रे द्वारे बदलले जातील Identrust. या बदलासाठी प्रमाणपत्र-व्यवस्थापक सेटिंग्जमध्ये बदल करण्याची आवश्यकता नाही, या तारखेनंतर जारी केलेली सर्व अद्यतनित किंवा नवीन प्रमाणपत्रे नवीन रूट CA वापरतील.

चला या CA सह प्रमाणपत्रे आधीच एन्क्रिप्ट करू आणि ACME द्वारे त्यांना "पर्यायी प्रमाणपत्र शृंखला" म्हणून ऑफर करू. प्रमाणपत्र-व्यवस्थापकाच्या या आवृत्तीमध्ये, जारीकर्ता सेटिंग्जमध्ये या साखळ्यांमध्ये प्रवेश सेट करणे शक्य आहे. पॅरामीटरमध्ये preferredChain तुम्ही वापरात असलेल्या CA चे नाव निर्दिष्ट करू शकता, ज्यासह प्रमाणपत्र जारी केले जाईल. विनंतीशी जुळणारे CA प्रमाणपत्र उपलब्ध असल्यास, ते तुम्हाला प्रमाणपत्र जारी करेल. कृपया लक्षात घ्या की हा पसंतीचा पर्याय आहे, काहीही न आढळल्यास, डीफॉल्ट प्रमाणपत्र जारी केले जाईल. हे सुनिश्चित करेल की ACME जारीकर्त्याच्या बाजूने पर्यायी शृंखला हटवल्यानंतरही तुम्ही तुमच्या प्रमाणपत्राचे नूतनीकरण कराल.

आजच तुम्ही स्वाक्षरी केलेले प्रमाणपत्रे प्राप्त करू शकता ISRG Root, त्यामुळे:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

आपण साखळी सोडण्यास प्राधान्य दिल्यास IdenTrust - हा पर्याय सेट करा DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

कृपया लक्षात घ्या की हे रूट CA लवकरच नापसंत केले जाईल, Let's Encrypt ही साखळी 29 सप्टेंबर 2021 पर्यंत सक्रिय ठेवेल.

स्त्रोत: www.habr.com