Джерело:
Хабрахабр / Захабренные / Тематические / Посты
Дата публікації:
05/07/2022 14:46
Постійна адреса новини:
http://www.vsinovyny.com/9138023
Wildcard-сертификат Let's Encrypt для внутренних сервисов в Kubernetes-кластере
05/07/2022 14:46 // Хабрахабр / Захабренные / Тематические / Посты
У вас есть кластер, в котором хочется разместить как можно больше рабочих сервисов и продуктов для внутреннего использования, ибо удобно: систему управления версиями, репозиторий Docker-образов, S3-хранилище, базы данных, тестовые среды и т.д. Но есть "но": многие из них, как например, репозиторий Docker-образов, могут работать только с использованием TLS. У вас есть два пути: получить сертификат от одного из сертификационных центров, платных или бесплатных, вроде Let's Encrypt, или сгенерировать самому. Устанавливать на каждого клиента сертификат нашего "левого" самопровозглашённого центра не хочется, поэтому самоподписанный сертификат отпадает. Денег платить каждый год не хочется, поэтому выбираем Let's Encrypt. Но и тут есть проблема (помимо необходимости автоматизации перевыпуска сертификата не реже раза в три месяца): внутренние сервисы нельзя выставлять в публичную сеть, а значит и HTTP-01 вариант подтверждения владения доменом нам недоступен. Остаётся только DNS-01 метод, который имеет свои подводные камни.
В данной статье я расскажу о своём опыте автоматизации выпуска/перевыпуска wildcard-сертификата для домена второго уровня (wildcard, чтобы два раза не вставать, но можно выпускать сертификаты и для каждого отдельного поддомена) для использования внутренними сервисами, расположенными в Kubernetes-кластере, с помощью cert-manager и бесплатного сервиса поддержки DNS-зон Яндекс.Коннект.
Читать далее| « |
Наступна новина з архіву Учёные создали «мягкий» вариант метода CRISPR для редактирования генов |
Попередня новина з архіву AI-Powered Technology Will Be Used To Speed Up VAR Offside Calls at World Cup |
» | |
|
|
||||