cert-manager Webhook используется для автоматического создания DNS-записей при валидации домена с помощью метода DNS-01.
Для корректной работы дополнения необходимо, чтобы:
- домен делегированы на наши NS;
- в кластере установлен cert-manager.
Установка cert-manager Webhook
Установите дополнение cert-manager Webhook через панель управления Kubernetes в разделе «Дополнения».
После установки убедитесь, что запущен под, отвечающий за DNS01-валидацию:
У пода должен быть статус Running.
Настройка ClusterIssuer
Чтобы cert-manager мог выпускать сертификаты, необходимо создать объект ClusterIssuer. Он описывает, каким способом и через какого провайдера cert-manager будет выполнять валидацию доменов и получать сертификаты. Объект ClusterIssuer действует на уровне всего кластера и может использоваться из любых namespace'ов.
Создайте файл cluster-issuer.yaml:
Значение privateKeySecretRef указывает, где будет храниться ключ учетной записи, с помощью которой cert-manager взаимодействует с Let's Encrypt.
Параметр groupName обязательно должен содержать ID вашего кластера. Его можно посмотреть в адресной строке браузера при открытии страницы управления кластером.
Примените манифест:
Выпуск сертификата
Создайте файл certificate.yaml:
При использовании wildcard-домена обязательно заключайте его в кавычки:
Для корректной работы сертификат должен находиться в том же неймспейсе, что и Ingress.
Проверьте, что в манифесте указан нужный неймспейс.
Замените домены на свои и примените манифест:
Проверка статуса
Проверить текущий статус выпуска сертификата можно так:
При успешном выпуске сертификата вы увидите примерно следующее:
Проверка сертификата
После успешного выпуска проверьте, что секрет с сертификатом создан:
Секрет будет содержать ключи tls.crt и tls.key.