á¡ááœá±á·á¡ááŒá¯á¶ááá·áºáá»ááºáá±á¬ á¡ááºáá»ááºáá®áá¬áá áºáŠážá¡á¬áž áááºááŸááºáááºáá±áá»á¬ááŸáá·áº á¡áááºááŒá±á¬áá·áº áá°ááá¯ááºážá¡áá¯á¶ážááŒá¯ááááºážáᯠáá±ážáá«á á¡áá°ážáá¯ááá¬áááºá áááºááŒááºážáá»áᬠáá¯á¶ááŒááºá áœá¬ ááœá±á·áááºáᬠâáá°ááá¯ááºážá áááºááŒááºáá¯á¶ááá¬ážáááŸááá±á¬ á¡ááŒá¬ážáááºážáááºážáááŸááá±á¬ááŒá±á¬áá·áº áááºážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá áá»áœááºáá±á¬áºááá¯á·áá²á· ááŒáœááºááœá±á á¡á±á¬áºáá Ạá áœáá·áºáá¬ážáá±ááá·áº áá®ááŸá¬ážá á±á¬ááºážáá±ážáá²á· áá±áá¬ááŸá¬ áááºááŒá®áž áá±ááá¯ááºááœá¬ážááŒáá«áááºá áá«ááá¯á·áá¬ááŒá±á¬áá·áºáá»á áºáá¬áá²? áá¬ááŒá±á¬áá·áºáá²ááá¯áá±á¬á· á¡áá¯ááºáá¯ááºáááºá áá«ááá¯á·áá¬ááá¯á·ááá»á áºáá¬áá²á á¡ááœááºá¡ááŒááºá¡áá áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá·áº áá¬ážááŸááºážá¡áá áºáá»á¬áž á¡áááºáááŒááºááœááºáá±áá±á¬ááŒá±á¬áá·áºááŒá áºáááºá ááŒá®ážáá±á¬á· á¡á á¯á¡ááœá²á·ááᯠáááºáá«áááºáá« á¡ááºááááºáá¯ááºááááºá áá°ážáá±á«ááºážááŒá¶á ááºááŸá¯ááŸáá·áº áá»áŸáá¯á·ááŸááºáááºážááŒááºáá±á¬ shamanism ááŸááá±áá±á¬ááŒá±á¬áá·áº áá¬ážááŸááºážáá±á¬ááºážáá»á¬ážááẠá¡áá¯ááºááá¯ááºáá±á¬á·áá«á
áá«áá±ááá·áº developer ááœá±á áá®ááá¯ááŒá±á¬ááŒáááºá áááºááŸááºáááºáá±áá»á¬ 1.0 á¡áá¬á¡á¬ážáá¯á¶ážááŒá±á¬ááºážáá²áááá·áºáááºá
áá«ááá¯á·áá¯á¶ááŸá¬áá¬ážá
áááºááŸááºáááºáá±áá»á¬ááẠáá°áááºáž Kubernetes áááºááŸááºá á®áá¶ááá·áºááœá²ááŸá¯ ááááºážáá»á¯ááºáá°ááŒá áºáááºá á¡áá»áá¯ážáá»áá¯ážáá±á¬áááºážááŒá áºáá»á¬ážá០á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážááᯠáá¯ááºáá±ážááá¯ááºáááº- Let's Encryptá HashiCorp Vaultá Venafiá áááºááŸááºááá¯ážááŒááºážááŸáá·áº ááá¯ááºááá¯ááºáá±ážááá¯ážáá¬ážáá±á¬ áá±á¬á·á¡ááœá²áá»á¬ážá áááºážááẠááá·áºá¡á¬áž áááºáááºážáá¯ááºáá¯á¶ážáááºá áœá²ááŒáá·áº áá±á¬á·áá»á¬ážááᯠáá±á¬ááºáá¯á¶ážáá±á«áº ááááºážáááºážáá¬ážááá¯ááºááá·áºá¡ááŒáẠáááºážááá¯á·áááºáááºážááá¯ááºáá® áááºááŸááºáá¬ážáá±á¬á¡áá»áááºá áááºááŸááºáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºáááºáááºážááá¯ážáááºáááºáž ááŒáá¯ážáááºážááá¯ááºáááºá Cert-manager ááẠkube-lego ááá¯á¡ááŒá±áá¶áá¬ážááŒá®áž kube-cert-manager áá²á·ááá¯á·áá±á¬ á¡ááŒá¬ážáá±á¬ á¡áá¬ážáá°ááá±á¬áá»ááºáá»á¬ážá០ááŸáá·áºááœááºá¡áá»áá¯á·ááá¯áááºáž á¡áá¯á¶ážááŒá¯áá¬ážáááºá
áá¯ááºáá±ááŸá¯ááŸááºá á¯áá»á¬áž
áá¬ážááŸááºáž 1.0 ááŒáá·áº áá»áœááºá¯ááºááá¯á·ááẠcert-manager ááá±á¬áá»ááºá ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯áá¯á¶ážááŸá áºá¡ááœáẠáá¯á¶ááŒááºáá»ááºá¡ááŸááºá¡áá¬ážááᯠáá¬ážááŸááá²á·áááºá á€á¡áá»áááºá¡áá±á¬á¡ááœááºážá áááºážááẠáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº áááºááŒáááºááŸá¯ááœáẠáááá¬áááºááŸá¬ážá áœá¬ ááŒá±á¬ááºážáá²áá¬áá±á¬áºáááºáž á¡áá»á¬ážá á¯ááŸá¬ á¡ááá¯ááºážá¡ááá¯ááºážááœáẠááŒá áºáááºá ááá±á·ááœááºá áá°áá»á¬ážá áœá¬ááẠáááºážááá¯á·á Kubernetes á¡á á¯á¡áá±ážáá»á¬ážááᯠáá¯á¶ááŒá¯á¶á á±áááºá¡ááŒáẠáááºážááᯠáá±áá áá áºá á¡á áááºá¡ááá¯ááºážá¡áá®ážáá®ážááœáẠááŒáá·áºáá»ááºá¡áá¯á¶ážááŒá¯áááºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá«áááºá áá±á¬ááºáá¯á¶ážáá¯áẠ16 ááŒáááºááœáẠbug á¡áá»á¬ážá¡ááŒá¬ážááᯠááŒááºáááºááŒá®ážááŒá áºáááºá áá»áá¯ážááá¯á· ááá¯áá¬á áá»ááºáá¬á API ááŸáá·áº áá¯ááºáá±á¬ááºááẠáááºáááºááŸá¯ á¡áá»á¬ážá¡ááŒá¬ážááẠáá¯á¶ážá áœá²áá°áá»á¬ážááŸáá·áº áááºážá á¡ááŒááºá¡ááŸááºáááºáá¶áá±ážááᯠááá¯ážáááºá á±áááºá ááœááºááŒá°ááá®á¡ááœá²á·ááẠ1500 áŠážáá¶á០ááá¯ááá¯ááœá²áá°áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááŒáá·áº GitHub ááœáẠááŒá¿áᬠ253 ááᯠáá»áœááºá¯ááºááá¯á· ááŒá±ááŸááºážááŒá®ážááŒá áºáááºá
1.0 áá¯ááºáá±ááŸá¯ááŸáá·áºá¡áá°á áá»áœááºá¯ááºááá¯á·ááẠáááºááŸááºáááºáá±áá»á¬ááẠááá·áºáá»ááºáá±á¬ááá±á¬áá»ááºááŒá
áºááŒá±á¬ááºáž ááá¬ážáááºááŒá±ááŒá¬áá«áááºá áá»áœááºá¯ááºááá¯á·á API ááᯠááá¯ááºáááºáá®á¡á±á¬áẠááááºážááááºážáá¬ážáááºáááºáž áááááŒá¯áá«áááºá v1
.
á€áá¯á¶ážááŸá áºáá¬áá¯á¶áž cert-manager ááŒá áºá¡á±á¬áẠáá°áá®áá±ážáá²á·ááŒáá°ááá¯ááºážááᯠáá»á±ážáá°ážá¡áá»á¬ážááŒá®ážáááºáá«áááºá áá¬ážááŸááºáž 1.0 ááẠáá±á¬ááºáá¬ááá·áº ááŒá®ážáá¬ážáá±á¬á¡áá¬áá»á¬ážá áœá¬áá²á០ááááá¯á¶ážááŒá áºáá«á á±á
Release 1.0 ááẠáŠážá á¬ážáá±ážááá¹ááá»á¬ážá áœá¬áá«ááŸááá±á¬ áááºááŒáááºáá±á¬áá¯ááºáá±ááŸá¯ááŒá áºáááº-
-
v1
API -
á¡ááœá²á·
kubectl cert-manager status
ááŒá¿áá¬ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááŸáá·áºá¡áá°áá°áá®áááº; -
áá±á¬ááºáá¯á¶ážáá±á«áºáááºááŒáááºáá±á¬ Kubernetes APIs ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
-
ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá áºáá¯ááºááŒááºážá
-
ACME ááá¯ážáááºááŸá¯áá»á¬ážá
á¡ááá·áºááŒáŸáá·áºáááºááŒááºážáááŒá¯áá® á¡ááá·áºááŒáŸáá·áºááŸááºá á¯áá»á¬ážááᯠáá±áá»á¬áááºáá«á
API v1
áá¬ážááŸááºáž v0.16 API ááŒáá·áº áá¯ááºáá±á¬ááºáá²á·áááºá v1beta1
. áááºážááẠááœá²á·á
ááºážáááºáá±á¬ááºáá¯á¶ááá¯ááºáᬠááŒá±á¬ááºážáá²ááŸá¯á¡áá»áá¯á·ááᯠááá·áºááœááºážááŒá®áž API áááºááẠá
á¬ááœááºá
á¬áááºážáá»á¬ážááᯠááŒáŸáá·áºáááºáá±ážáá«áááºá áá¬ážááŸááºáž 1.0 ááẠáááºážááᯠAPI áá
áºáá¯ááŒáá·áº áááºáá±á¬ááºáááºá v1
. ဠAPI ááẠáá»áœááºá¯ááºááá¯á·áááááá¯á¶ážáááºááŒáááºááŸá¯ááŒá
áºááŒá®ážá áá
áºáá»áááºáááºážááœáẠáá»áœááºá¯ááºááá¯á·ááẠááá¯ááºáááºáá®ááŸá¯ááŸááá±á¬á¡á¬ááá¶áá»ááºáá»á¬ážááá¯áá±ážáá¬ážááŒá®ážááŒá
áºáá±á¬áºáááºáž API ááŸáá·áºááŒá
áºáááºá v1
áá±á¬ááºááŸá
áºáá»á¬ážá¡áá ááá¯ááºáááºáá®á¡á±á¬áẠááááºážááááºážáá±ážáááºáᯠáááááŒá¯áá«áááºá
ááŒá¯áá¯ááºáá¬ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá²áá»á¬áž (ááŸááºáá»ááº- áá»áœááºá¯ááºááá¯á·á ááŒá±á¬ááºážáá²ááŒááºážáááááá¬áá»á¬ážááẠááá·áºá¡ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááᯠááá¯á áá¯ááºáááº)á
áááºááŸááº-
-
emailSANs
á¡áá¯áá±á«áºáááºáemailAddresses
-
uriSANs
-uris
á€ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááẠá¡ááŒá¬ážáá±á¬ SAN áá»á¬ážááŸáá·áº ááá¯ááºáááºáá®ááŸá¯ááᯠáá±á«ááºážááá·áºááẠ(áá¬áá¬áááºááá¯ááºáᬠalt á¡áááºáá»á¬ážá á¡áá®ážá ááºáá¯á¶áž áá¬áá¬ááŒááºáá°) á¡ááŒáẠGo API ááŸáá·áºá áá»áœááºá¯ááºááá¯á·ááẠá€á¡áá¯á¶ážá¡ááŸá¯ááºážááᯠáá»áœááºá¯ááºááá¯á·á API á០áááºááŸá¬ážáá±áá«áááºá
update ááá¯
á¡áááºá áááºááẠKubernetes 1.16+ ááᯠá¡áá¯á¶ážááŒá¯áá±áá«áá webhooks áá»á¬ážááᯠááŒá±á¬ááºážáá²ááŒááºážááŒáá·áº API áá¬ážááŸááºážáá»á¬ážááŸáá·áº áááŒáá¯ááºááẠáá»á±á¬ááœá±á·á
áœá¬ áá¯ááºáá±á¬ááºááá¯ááºáááºááŒá
áºáááºá v1alpha2
, v1alpha3
, v1beta1
О v1
. áááºážááá¯á·ááŸáá·áºá¡áá°á áááºááẠáááºáá¡áááºážá¡ááŒá
áºáá±á¬ááºážáá»á¬ážááᯠááŒá±á¬ááºážáá²ááŒááºáž ááá¯á·ááá¯áẠááŒááºáááºá¡áá¯á¶ážáá»ááŒááºážáááŸááá² API ááá¬ážááŸááºážá¡áá
áºááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáááºááŒá
áºáááºá áááºááááºáá®ážáááºá
áºáá»á¬ážááᯠAPI ááá¯á· á¡ááá·áºááŒáŸáá·áºáááºááẠáá»áœááºá¯ááºááá¯á· á¡áá°ážá¡ááŒá¶ááŒá¯ááá¯áá«áááºá v1
ááááºáá¬ážááŸááºážáá»á¬ážá¡ááá¯ááºáž áááŒá¬áá® áááºááá¯ááºážáá±á¬á·áááºááŒá
áºáááºá á¡áá¯á¶ážááŒá¯áá°áá»á¬áž legacy
cert-manager ááá¬ážááŸááºážáá»á¬ážáááºáᬠáááºáá¯á¶ážááœáá·áºááŸááá±ážáááºá v1
á¡ááá·áºááŒáŸáá·áºáááºááŸá¯ á¡ááá·áºáá»á¬ážááᯠááœá±á·ááŸáááá¯ááºáááºá
kubectl cert-manager á¡ááŒá±á¡áá± ááœáŸááºááŒá¬ážáá»ááº
áá»áœááºá¯ááºááá¯á·á extension ááœáẠááá¯ážáááºááŸá¯á¡áá
áºáá»á¬ážááŸáá·áºá¡áá° kubectl
áááºááŸááºáá»á¬áž áá¯ááºáá±ážááŒááºážáááŸááá±á¬ ááŒá¿áá¬áá»á¬ážááᯠá
á¯á¶á
ááºážááẠááá¯ááá¯ááœááºáá°áá¬áááºá kubectl cert-manager status
ááᯠáááºááŸááºáá»á¬ážááŸáá·áº áááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážá
áœá¬ááᯠáá±ážáá±á¬ááºááŒá®áž áááºááŸááºáá¯ááºáá±ážááá·áº á¡ááá·áºááá¯áááºáž ááŒááá¬ážáááºá
Extension ááá¯ááá·áºááœááºážááŒá®ážáá±á¬ááºá ááẠrun ááá¯ááºáááºá kubectl cert-manager status certificate <ОЌÑ-ÑеÑÑОÑОкаÑа>
ACME á០á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«á CertificateRequestá Secretá Issuer ááŸáá·áº Order and Challenges ááá¯á·ááᯠáá±ážáá¬ážáá±á¬ á¡áááºááŸáá·áº áááºááá¯ááºááá·áº á¡áááºážá¡ááŒá
áºáá»á¬ážááŒá
áºááá·áº CertificateRequestá Issuer ááŸáá·áº Order and Challenges ááá¯á·ááŒáá·áº áááºááŸááºááᯠááŸá¬ááœá±áá«áááºá
á¡áááºááá·áºáááŒá áºáá±ážáá±á¬ áááºááŸááºááᯠá¡ááŸá¬ážááŸá¬ááŒááºážá á¥ááá¬-
$ kubectl cert-manager status certificate acme-certificate
Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Issuing 18m cert-manager Issuing certificate as Secret does not exist
Normal Generated 18m cert-manager Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
Normal Requested 18m cert-manager Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
Name: acme-issuer
Kind: Issuer
Conditions:
Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
Name: acme-certificate-qp5dm
Namespace: default
Conditions:
Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal OrderCreated 18m cert-manager Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
Name: acme-certificate-qp5dm-1319513028
State: pending, Reason:
Authorizations:
URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false
á¡áááá·áºááẠáááºááŸááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá¡ááŒá±á¬ááºáž ááá¯ááá¯áá±á·áá¬áááºáááºáž áá°áá®áá±ážááá¯ááºáááºá Letsencrypt ááŸáá¯ááºáá±ážáá±á¬ áááºááŸááºá¡ááœáẠá¡áá±ážá ááẠá¥ááá¬-
$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
Name: example
Issuer Country: US
Issuer Organisation: Let's Encrypt
Issuer Common Name: Let's Encrypt Authority X3
Key Usage: Digital Signature, Key Encipherment
Extended Key Usages: Server Authentication, Client Authentication
Public Key Algorithm: RSA
Signature Algorithm: SHA256-RSA
Subject Key ID: 65081d98a9870764590829b88c53240571997862
Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
Events: <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]
áá±á¬ááºáá¯á¶ážáá±á«áºáááºááŒáááºáá±á¬ Kubernetes APIs ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
Cert-manager ááẠKubernetes CRDs áá»á¬ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááá·áº ááááá¯á¶ážáá±á¬ áá
áºáŠážááŒá
áºáááºá áááºážááŸáá·áº 1.11 á¡áá Kubernetes áá¬ážááŸááºážáá»á¬ážá¡ááœáẠáá»áœááºá¯ááºááá¯á·ááá¶á·ááá¯ážááŸá¯ááẠá¡ááœá±á¡ááŸá
áºááᯠáá¶á·ááá¯ážááẠááá¯á¡ááºáááºáᯠááá¯ááá¯ááẠapiextensions.k8s.io/v1beta1
áá»áœááºá¯ááºááá¯á·á CRDs áá»á¬ážá¡ááœááºáááºážááŒá
áºáááºá admissionregistration.k8s.io/v1beta1
áá»áœááºá¯ááºááá¯á·á webhooks á¡ááœáẠáááºážááá¯á·ááᯠááᯠáááºááá¯ááºážáá¬ážááŒá®áž Kubernetes ááœáẠáá¬ážááŸááºáž 1.22 á០áááºááŸá¬ážáá«áááºá áá»áœááºá¯ááºááá¯á·á 1.0 ááŒáá·áº ááᯠáá»áœááºá¯ááºááá¯á·ááẠá¡ááŒáá·áºá¡ááá¶á·ááá¯ážááŸá¯áá±ážáá«áááºá apiextensions.k8s.io/v1
О admissionregistration.k8s.io/v1
Kubernetes 1.16 (áááºážááá¯á·ááá¯ááá·áºááœááºážáá¬ážááá·áºáá±áá¬) ááŸáá·áº á¡áá
áºáá»á¬ážá¡ááœááºá ááááºáá¬ážááŸááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠáá¶á·ááá¯ážááŸá¯áá»á¬ážááᯠáááºáááºáááºážááŸááºážáá«áááºá v1beta1
áá«ááá¯á·áá²á· legacy
áá¬ážááŸááºážáá»á¬áž
ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áá áºáá¯ááºááŒááºážá
á€áá¯ááºáá±ááŸá¯ááœááºá áá»áœááºá¯ááºááá¯á·ááẠááŸááºáááºážá
á¬ááŒáá·áºááá¯ááºááᯠá¡ááºááááºáá¯ááºáá¬ážáá«áááºá klog/v2
Kubernetes 1.19 ááœááºá¡áá¯á¶ážááŒá¯áááºá áá»áœááºá¯ááºááá¯á·áá±ážáá±á¬ áá»á¬áááºáá
áºáá¯á
á®ááᯠááá·áºáá»á±á¬áºáá±á¬á¡ááá·áºáááºááŸááºáá¬ážááŒá±á¬ááºáž áá±áá»á¬á
á±áááºáááºáž ááŒááºáááºáá¯á¶ážáááºáá«áááºá áá«ááᯠáá»áá±á¬áºááá¯á·á áááºážááœáŸááºáá²á·áááºá Error
(á¡ááá·áº 0) á¡áá±ážááŒá®ážáá±á¬ á¡ááŸá¬ážáá»á¬ážááá¯áᬠááá¯ááºááŸáááºá á¡áá¯á¶ážáááºáá«áááºá Trace
á¡ááá·áº (á
) ááŸá¬ áá¬ááœá±ááŒá
áºáá±áá²ááá¯áá¬ááᯠá¡ááá¡áá»ááááá¯á· áá°áá®áá±ážáá«áááá·áºáááºá á€ááŒá±á¬ááºážáá²ááŸá¯ááŸáá·áºá¡áá°á cert-manager ááá¯áá¯ááºáá±á¬ááºáá±áá»áááºááœáẠáááºá¡ááŸá¬ážááŸá¬ááŒááºá¡áá»ááºá¡áááºáááá¯á¡ááºáá«á ááŸááºáááºážá¡áá±á¡ááœááºááᯠáá»áŸá±á¬á·áá»ááá¯ááºáá«áááºá
á¡ááŒá¶ááŒá¯áá»ááº- áááºááŸááºáááºáá±áá»á¬ááẠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº á¡ááá·áº 2 ááœáẠá¡áá¯ááºáá¯ááºááẠ(Info
) ááá¯á¡áá¯á¶ážááŒá¯á áááºážááᯠoverride áá¯ááºááá¯ááºáá«áááºá global.logLevel
Helmchart ááœááº
ááŸááºáá»ááº- ááŸááºáááºážáá»á¬ážááᯠááŒáá·áºááŸá¯ááŒááºážááẠááŒá¿áá¬ááŒá±ááŸááºážááá·áºá¡áá« áá±á¬ááºáá¯á¶ážáááºážáááºážááŒá
áºáááºá ááá¯ááá¯ááááŸáááá¯áá«ááá»áœááºá¯ááºááá¯á·áááœááºá
á
áºáá±ážáá«á
á¡ááºáá®áᬠn.b.- Kubernetes á á¡á¯ááºá
áá¯ážááŸá¯á¡á±á¬ááºááœáẠáááºážá¡áá¬á¡á¬ážáá¯á¶áž á¡áá¯ááºáá¯ááºáá¯á¶á¡ááŒá±á¬ááºáž ááá¯ááá¯áá±á·áá¬áááºá áá±á·áá»áá·áºáá±ážááá¬áá»á¬ážáá¶á០á¡ááá¯ážáááºáá±á¬ á¡ááŒá¶áá¬ááºáá»á¬ážá¡ááŒáẠá¡áááºá¡ááœá±ážááá¯ááºážááá¯ááºáᬠáá¶á·ááá¯ážáá°áá®ááŸá¯á¡áá°á¡áá®ááᯠááá°áá«á á¡áœááºááá¯ááºážá¡ááŒáááºá¡áááºáá»á¬ážááœáẠáááºáá«áááºááá¯ááºáá«áááºá
ACME ááá¯ážáááºááŸá¯áá»á¬áž
áááºááŸááºáááºáá±áá»á¬á á¡áá¯á¶ážá¡áá»á¬ážáá¯á¶ážá¡áá¯á¶ážááŒá¯ááŸá¯ááŸá¬ ACME ááᯠá¡áá¯á¶ážááŒá¯á Let's Encrypt á០áááºááŸááºáá»á¬ážáá¯ááºáá±ážááŒááºážááŸáá·áº áááºá ááºáá±áá«áááºá áá»áœááºá¯ááºááá¯á·á ACME áá¯ááºáá±ážáá°á¡ááœáẠá¡áá±ážá á¬ážáá±á¬áºáááºážáá±á¬ááºáž á¡áá±ážááŒá®ážáá±á¬ ááá¯ážáááºááŸá¯ááŸá áºáá¯ááᯠááá·áºááẠááœááºááŒá°ááá®áá¯á¶á·ááŒááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áááºá¡ááœáẠáá¬ážááŸááºáž 1.0 ááẠááŸááºáá¬ážááœááºáá±á¬ááºážáááºá
á¡áá±á¬áá·áºáá±á¬á·áá¯ááºáá¯ááºááŒááºážááᯠááááºáá«á
á¡áááºá áááºááẠACME á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá»á¬ážááᯠá¡ááœá²á¡áá»á¬ážá¡ááŒá¬ážááœáẠá¡áá¯á¶ážááŒá¯áá«áá áááºááẠá¡á
á¯á¡áá±ážáá»á¬ážá
áœá¬ááœáẠáá°áá®áá±á¬á¡áá±á¬áá·áºááᯠá¡áá¯á¶ážááŒá¯áááœááºááŸááá±á¬ááŒá±á¬áá·áº ááá·áºáááºááŸááºáá¯ááºáá±ážááŒááºážááá¯ááºáᬠááá·áºáááºáá»ááºáá»á¬ážááẠáááºážááá¯á·á¡á¬ážáá¯á¶ážááŸáá·áº áááºááá¯ááºáááºááŒá
áºáááºá áááºááŸááºáá¬ážááá·áºáá»áŸáá¯á·ááŸááºáá»ááºááᯠáá°ážáá°ááá·áºá¡áá« áááºááŸááºáááºáá±áá»á¬ááœáẠáááºážááẠááŒá
áºááá¯ááºáá»á±ááŸááá±ááŒá®ááŒá
áºáááºá privateKeySecretRef
. cert-manager á á¡áá°á¡áá®ááŒá
áºá
á±ááẠááŒáá¯ážá
á¬ážááŒá®áž á¡áá±á¬áá·áºáá®ážáá
áºáá¯ááᯠááŸá¬áááœá±á·áá«á á¡áá±á¬áá·áºá¡áá
áºáá
áºáá¯ááᯠáá»á±á¬áºááœáŸááºá
áœá¬áááºáá®ážáá¬ážáá±á¬ááŒá±á¬áá·áº á€á¡áá¯á¶ážááŒá¯ááŸá¯ááá
á¹á
ááẠá¡áá±á¬áºáá±ážááᯠááá¯ážááœá¬ážáá«áááºá á¡á²áá«ááŒá±á¬áá·áº áá»áœááºáá±á¬áºááá¯á·á áááºááá·áºáááºá disableAccountKeyGeneration
áááºááẠá€ááœá±ážáá»ááºááŸá¯ááᯠáááºááŸááºáá«á á€á¡ááŒá¯á¡áá°á០áá¬ááœááºááẠtrue
- cert-manager ááẠáá±á¬á·ááá¯áá¯ááºáá±ážáááºááá¯ááºááá·áºá¡ááŒáẠáááºážá¡á¬áž á¡áá±á¬áá·áºáá±á¬á·ááŒáá·áºááá±ážáá¬ážááŒá±á¬ááºážááááá±ážáááºááŒá
áºáááºá
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
privateKeySecretRef:
name: example-issuer-account-key
disableAccountKeyGeneration: false
ááŸá áºáááºáᬠááœááºážáááº
á
ááºáááºáᬠáá ááŸá¬ á
á¬ááŸááºááŒáá«á
áá¯á· ISRG Root
. áááºááŸááºáá±ážááá¯ážáá¬ážáá±á¬ áááºááŸááºáá»á¬ážááᯠá¡á
á¬ážááá¯ážáá«áááºá Identrust
. á€ááŒá±á¬ááºážáá²ááŸá¯ááẠcert-áááºáá±áá»á¬áááºáááºáá»á¬ážááœáẠá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážáááá¯á¡ááºáá«á á€áááºá
áœá²ááŒá®ážáá±á¬áẠá¡ááºááááºáá¯ááºáá¬ážáá±á¬ ááá¯á·ááá¯áẠá¡áá
áºáá¯ááºáá±ážáá±á¬ áááºááŸááºáá»á¬ážá¡á¬ážáá¯á¶ážááẠroot CA á¡áá
áºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
ဠCA ááŒáá·áº áááºááŸááºáá»á¬ážááᯠáááºááŸááºáá±ážááá¯ážááŒá®ážáá±á¬ áááºááŸááºáá»á¬ážááᯠá
á¬ááŸááºáá¬ážááŒá®áž áááºážááá¯á·á¡á¬áž ACME ááŸáá
áºááá·áº "á¡ááŒá¬ážá¡ááá¡ááŸááºááŒá¯áááºááŸááºááœááºážáááº" á¡ááŒá
ẠáááºážááŸááºážááŒáá«á
áá¯á·á cert-manager á á€áá¬ážááŸááºážááœááºá áá¯ááºáá±ážáá° áááºáááºáá»á¬ážááœáẠá€ááœááºážáááºáá»á¬ážááá¯á· áááºáá±á¬ááºááœáá·áºááᯠáááºááŸááºááá¯ááºáááºá ááá·áºáááºáá»ááºá preferredChain
áááºááŸááºáá¯ááºáá±ážááá·áº CA áá¡áááºááᯠáááºáááºááŸááºááá¯ááºáááºá áá±á¬ááºážááá¯áá»ááºááŸáá·áº ááá¯ááºáá®áá±á¬ CA áááºááŸááºáá
áºáᯠáááá¯ááºáá«áá áááºážááẠááá·áºá¡á¬áž á¡ááá¡ááŸááºááŒá¯áááºááŸááºáá¯ááºáá±ážáááºááŒá
áºáááºá áááºážááẠáŠážá
á¬ážáá±ážááœá±ážáá»ááºááŸá¯ááŒá
áºáááºá áááºááá·áºá¡áá¬ááá¯áá»áŸ áááœá±á·áá«áá áá¯á¶áá±áááºááŸááºááᯠáá¯ááºáá±ážáááºááŒá
áºááŒá±á¬ááºáž áá»á±ážáá°ážááŒá¯á áááááŒá¯áá«á áááºážááẠACME áá¯ááºáá±ážáá°áááºááŒááºážááŸá á¡ááŒá¬ážááœááºážáááºááᯠáá»ááºááŒá®ážáá±á¬áẠáááºááááºááŸááºááᯠáááºáááºáááºáááºážááá¯ážáááºááŒá
áºááŒá±á¬ááºáž áá±áá»á¬á
á±áááºááŒá
áºáááºá
ááá±á·ááẠáááºáááºááŸááºááá¯ážáá¬ážáá±á¬ áááºááŸááºáá»á¬ážááᯠáááºáá¶áááŸááá±ááŒá®ááŒá
áºáááºá ISRG Root
, áá«ááŒá±á¬áá·áº:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "ISRG Root X1"
ááœááºážáááºááœá±ááᯠáá»ááºáá¬ážáá»ááºááẠIdenTrust
- á€ááœá±ážáá»ááºááŸá¯ááá¯áááºááŸááºáá«á DST Root CA X3
:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "DST Root CA X3"
ဠroot CA ááᯠáááŒá¬áá® áááºááá¯ááºážáá±á¬á·áááºááŒá áºááŒá±á¬ááºáž áá»á±ážáá°ážááŒá¯á ááŸááºáá¬ážáá¬ážáá«á Let's Encrypt ááẠá€ááœááºážáááºá¡á¬áž á ááºáááºáá¬á 29 áááºá 2021 áá¯ááŸá áºá¡áá áááºáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáááºááŒá áºáááºá
source: www.habr.com