که تاسو له یو تجربه لرونکي، هوښیار انجینر څخه وپوښتئ چې هغه د سند مدیر په اړه څه فکر کوي او ولې هرڅوک دا کاروي، نو متخصص به ساه واخلي، په ډاډه زړه به یې غیږ کې ونیسي او په ستړیا سره ووایي: "هرڅوک یې کاروي، ځکه چې هیڅ ښه بدیل شتون نلري. زموږ موږکان ژاړي، ټوکې کوي، خو د دې کاکټوس سره ژوند ته دوام ورکوي. ولې مینه کوو؟ ځکه چې دا کار کوي. ولې مینه نه کوو؟ ځکه چې نوې نسخې په دوامداره توګه راځي چې نوي ځانګړتیاوې کاروي. او تاسو باید کلستر بار بار تازه کړئ. او زاړه نسخې کار ودروي، ځکه چې یو سازش او یو لوی پراسرار شمنیزم شتون لري.
مګر پراختیا کونکي دا ادعا کوي د سند مدیر 1.0 هرڅه به بدل شي.
ایا موږ به باور وکړو؟
د تصدیق مدیر اصلي کوبرنیټس سند مدیریت کنټرولر دی. دا د مختلفو سرچینو څخه د سندونو صادرولو لپاره کارول کیدی شي: راځئ کوډ کړئ، HashiCorp والټ، وینافي، لاسلیک کول او پخپله لاسلیک شوي کلیدي جوړه. دا تاسو ته اجازه درکوي چې د ختمیدو نیټې پورې کیلي تازه وساتئ، او همدارنګه هڅه کوي په اتوماتيک ډول د پای ته رسیدو دمخه په ټاکل شوي وخت کې سندونه نوي کړي. د سرټ-منیجر د کیوب-لیګو پراساس دی او د نورو ورته پروژو لکه کیوب-سرټ-منیجر څخه یې ځینې چلونه هم کارولي دي.
د خوشې یادښتونه
د 1.0 نسخه سره، موږ د تصدیق مدیر پروژې د دریو کلونو پراختیا لپاره د باور نښه کېښوده. د دې وخت په جریان کې، دا په فعالیت او ثبات کې د پام وړ وده کړې، مګر تر ټولو ډیر په ټولنه کې. نن ورځ ، موږ ګورو چې ډیری خلک دا د دوی د کبرنیټ کلسترونو خوندي کولو لپاره کاروي او همدارنګه د ایکوسیستم مختلف برخو ته یې ځای په ځای کوي. په تیرو 16 ریلیزونو کې ډیری بګونه حل شوي. او هغه څه چې ماتولو ته اړتیا لري مات شوي. د API سره کار کولو لپاره څو لیدنې د کاروونکو سره د هغې تعامل ښه کړی. موږ په GitHub کې 1500 مسلې د 253 ټولنې غړو څخه د نورو پلټ غوښتنو سره حل کړې.
د 1.0 په خپرولو سره، موږ په رسمي توګه اعلان کوو چې د سند مدیر یوه بالغ پروژه ده. موږ هم ژمنه کوو چې زموږ د API مطابقت ساتو v1.
له هرچا څخه ډیره مننه چې پدې دریو کلونو کې یې زموږ سره د سند مدیر په جوړولو کې مرسته وکړه! اجازه راکړئ چې نسخه 1.0 د راتلونکو ډیری لوی شیانو څخه لومړی وي.
ریلیز 1.0 یو باثباته ریلیز دی چې د ډیری لومړیتوب ساحو سره:
-
v1API -
ټیم
kubectl cert-manager statusد ستونزو په تحلیل کې مرسته کول؛ -
د وروستي مستحکم Kubernetes APIs کارول؛
-
د ننوتلو ښه والی؛
-
د ACME ښه والی.
ډاډ ترلاسه کړئ چې د نوي کولو دمخه د اپ گریڈ نوټونه ولولئ.
API v1
نسخه v0.16 د API سره کار کړی v1beta1. دا یو څه ساختماني بدلونونه اضافه کړي او د API ساحې اسناد هم ښه کړي. نسخه 1.0 پدې کې د API سره رامینځته کیږي v1. دا API زموږ لومړی باثباته یو دی، په ورته وخت کې موږ دمخه د مطابقت تضمین ورکړی دی، مګر د API سره v1 موږ ژمنه کوو چې د راتلونکو کلونو لپاره مطابقت وساتو.
شوي بدلونونه (یادونه: زموږ د تبادلې وسیلې ستاسو لپاره هرڅه په پام کې نیسي):
سند:
-
emailSANsاوس ویل کیږيemailAddresses -
uriSANs-uris
دا بدلونونه د نورو SANs سره مطابقت اضافه کوي (د موضوع alt نومونه، نږدې ژباړن)، او همدارنګه د Go API سره. موږ دا اصطلاح زموږ له API څخه لرې کوو.
اوسمهال
که تاسو د Kubernetes 1.16+ کاروئ، د ویب هکونو بدلول به تاسو ته اجازه درکړي چې په ورته وخت کې د API نسخو سره کار وکړي. v1alpha2, v1alpha3, v1beta1 и v1. د دې سره، تاسو به وکولی شئ د API نوې نسخه وکاروئ پرته لدې چې ستاسو زړې سرچینې بدل کړئ یا بیا ځای په ځای کړئ. موږ په کلکه وړاندیز کوو چې ستاسو مینیفیسټونه API ته لوړ کړئ v1, لکه څنګه چې پخوانۍ نسخې به ډیر ژر رد شي. کاروونکي legacy د سند مدیر نسخې به لاهم یوازې لاسرسی ولري v1، د اپ گریڈ مرحلې موندل کیدی شي .
kubectl cert-manager status command
زموږ په تمدید کې د نوي پرمختګونو سره kubectl د سندونو د نه ورکولو سره تړلې ستونزې څیړل اسانه شول. kubectl cert-manager status اوس د سندونو سره څه تیریږي په اړه ډیر نور معلومات ورکوي او د سند صادرولو مرحله هم ښیې.
د توسیع نصبولو وروسته، تاسو کولی شئ چل کړئ kubectl cert-manager status certificate <имя-сертификата>، کوم چې به د ورکړل شوي نوم سره سند وګوري او کوم اړوند سرچینې لکه د سند غوښتنه ، راز ، جاري کونکی ، او امر او ننګونې که چیرې د ACME څخه سندونه کاروي.
د سند ډیبګ کولو یوه بیلګه چې لاهم چمتو نه ده:
$ kubectl cert-manager status certificate acme-certificate
Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Issuing 18m cert-manager Issuing certificate as Secret does not exist
Normal Generated 18m cert-manager Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
Normal Requested 18m cert-manager Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
Name: acme-issuer
Kind: Issuer
Conditions:
Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
Name: acme-certificate-qp5dm
Namespace: default
Conditions:
Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal OrderCreated 18m cert-manager Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
Name: acme-certificate-qp5dm-1319513028
State: pending, Reason:
Authorizations:
URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false
کمانډ کولی شي تاسو سره د سند مینځپانګې په اړه نور معلومات زده کولو کې هم مرسته وکړي. د Letsencrypt لخوا صادر شوي سند لپاره تفصيلي مثال:
$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
Name: example
Issuer Country: US
Issuer Organisation: Let's Encrypt
Issuer Common Name: Let's Encrypt Authority X3
Key Usage: Digital Signature, Key Encipherment
Extended Key Usages: Server Authentication, Client Authentication
Public Key Algorithm: RSA
Signature Algorithm: SHA256-RSA
Subject Key ID: 65081d98a9870764590829b88c53240571997862
Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
Events: <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]
د وروستي مستحکم Kubernetes APIs کارول
د تصدیق مدیر یو له لومړیو څخه و چې د Kubernetes CRDs پلي کول. دا، او تر 1.11 پورې د Kubernetes نسخو لپاره زموږ ملاتړ، پدې معنی چې موږ د میراث ملاتړ کولو ته اړتیا لرو apiextensions.k8s.io/v1beta1 زموږ د CRDs لپاره هم admissionregistration.k8s.io/v1beta1 زموږ د ویب هکونو لپاره. دوی اوس له پامه غورځول شوي او د 1.22 نسخه څخه به په Kubernetes کې لرې شي. زموږ د 1.0 سره موږ اوس بشپړ ملاتړ وړاندیز کوو apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 د Kubernetes 1.16 لپاره (چیرې چې دوی اضافه شوي) او نوي. د پخوانیو نسخو کاروونکو لپاره، موږ د ملاتړ وړاندیز ته دوام ورکوو v1beta1 زموږ کې legacy نسخې.
د ننوتلو ښه والی
په دې خپرونه کې، موږ د ننوتلو کتابتون تازه کړی دی klog/v2په Kubernetes 1.19 کې کارول کیږي. موږ هر هغه ژورنال بیاکتنه کوو چې موږ یې لیکو ترڅو ډاډ ترلاسه کړو چې دا مناسبه کچه ټاکل شوې. موږ د دې لخوا لارښوونه کوله . دلته پنځه دي (په حقیقت کې شپږ، نږدې ژباړند ننوتلو کچه له پیل څخه پیل کیږي Error (level 0)، کوم چې یوازې مهمې تېروتنې چاپوي، او پای ته رسیږي Trace (5 کچه) کوم چې به تاسو سره مرسته وکړي په ریښتیا پوه شي چې څه تیریږي. د دې بدلون سره، موږ د لاګونو شمیر کم کړی که تاسو د سند مدیر چلولو پرمهال د ډیبګ معلوماتو ته اړتیا نلرئ.
لارښوونه: د سند مدیر په ډیفالټ 2 کچه پرمخ ځي (Info)، تاسو کولی شئ دا په کارولو سره بیرته پورته کړئ global.logLevel په هیلمچارټ کې.
یادونه: د لاګونو لیدل د ستونزو د حل کولو په وخت کې وروستۍ لاره ده. د نورو معلوماتو لپاره زموږ وګورئ .
د مدیر n.b.: د دې په اړه د نورو زده کولو لپاره چې دا ټول د کوبرنیټس تر پوښښ لاندې څنګه کار کوي، د تمرین کونکو ښوونکو څخه ارزښتناکه مشورې ترلاسه کړئ، او همدارنګه د کیفیت تخنیکي مالتړ مرستې، تاسو کولی شئ په آنلاین انټرنټ کې برخه واخلئ ، کوم چې به د سپتمبر په 28-30 کې ترسره شي، او کوم چې به د اکتوبر 14-16 ترسره شي.
د ACME ښه والی
د سند مدیر خورا عام کارول شاید د ACME په کارولو سره د Let's Encrypt څخه د سندونو صادرولو پورې اړه ولري. نسخه 1.0 د ټولنې فیډبیک کارولو لپاره د پام وړ دی ترڅو زموږ ACME جاري کونکي ته دوه کوچني مګر مهم پرمختګونه اضافه کړي.
د حساب کلیدي تولید غیر فعال کړئ
که تاسو په لویو حجمونو کې د ACME سندونه کاروئ، تاسو احتمال لرئ ورته حساب په ډیری کلسترونو کې وکاروئ، نو ستاسو د سند صادرولو محدودیتونه به په ټولو باندې پلي شي. دا دمخه د سند مدیر کې ممکنه وه کله چې په کې مشخص شوي راز کاپي کول privateKeySecretRef. د دې کارونې قضیه خورا خرابه وه، ځکه چې د تصدیق مدیر هڅه وکړه چې ګټور وي او په خوښۍ سره د نوي حساب کیلي رامینځته کړي که چیرې یې ونه موندله. له همدې امله موږ اضافه کړل disableAccountKeyGenerationد دې چلند څخه ستاسو د ساتنې لپاره که تاسو دا اختیار ترتیب کړئ true - د سند مدیر به کیلي نه رامینځته کړي او تاسو ته به خبرداری درکړي چې دا د حساب کیلي نه ده چمتو شوې.
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
privateKeySecretRef:
name: example-issuer-account-key
disableAccountKeyGeneration: false
غوره سلسله
سپتمبر 29 راځئ چې کوډ کړو ستاسو خپل روټ CA ته ISRG Root. د کراس لاسلیک شوي سندونه به بدل شي Identrust. دا بدلون د سند مدیر ترتیباتو کې بدلونونو ته اړتیا نلري، ټول نوي شوي یا نوي سندونه چې د دې نیټې وروسته صادر شوي نوي روټ CA کاروي.
راځئ چې لا دمخه د دې CA سره سندونه کوډ کړئ او د ACME له لارې یې د "بدیل سند سلسله" په توګه وړاندیز کړئ. د سند مدیر پدې نسخه کې ، دا امکان لري چې د جاري کونکي تنظیماتو کې دې زنځیرونو ته لاسرسی تنظیم کړئ. په پیرامیټر کې preferredChain تاسو کولی شئ د CA نوم په کارولو کې مشخص کړئ، د کوم سره چې سند به صادر شي. که چیرې د غوښتنې سره سم د CA سند شتون ولري ، نو دا به تاسو ته سند صادر کړي. مهرباني وکړئ په یاد ولرئ چې دا غوره انتخاب دی، که هیڅ شی ونه موندل شي، یو ډیفالټ سند به صادر شي. دا به ډاډ ترلاسه کړي چې تاسو به د ACME جاري کونکي اړخ کې د بدیل زنځیر له مینځه وړلو وروسته خپل سند نوي کړئ.
نن ورځ تاسو کولی شئ د لاسلیک شوي سندونه ترلاسه کړئ ISRG Rootنو:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "ISRG Root X1"
که تاسو غوره کوئ چې سلسله پریږدئ IdenTrust - دا اختیار دې ته تنظیم کړئ DST Root CA X3:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
preferredChain: "DST Root CA X3"
مهرباني وکړئ په یاد ولرئ چې دا روټ CA به ډیر ژر له مینځه ویسي، راځئ چې کوډ کړئ دا سلسله به د سپتمبر 29، 2021 پورې فعاله وساتي.
سرچینه: www.habr.com