Как автоматически обновить SSL-сертификат Let's Encrypt для Cloud Run for Anthos на GKE с помощью Serverless?

Question

Я сделал сервис с Cloud Run for Anthos на GKE, а SSL-сертификат был создан Let's Encrypt. Я хочу обновить сертификат автоматически на сервере, а не на GCE.

Как я могу это сделать?

Можно ли использовать cronJob на GKE?

Я только что вручную создал сертификат на своем ноутбуке.

sudo certbot certonly --manual --preferred-challenges dns -d '*.default.domain'
sudo kubectl create --namespace istio-system secret tls istio-ingressgateway-certs \
--key /etc/letsencrypt/live/default.domain/privkey.pem \
--cert /etc/letsencrypt/live/default.domain/fullchain.pem

Answer 1

Да, вы можете использовать CronJob в GKE (в бета-версии):

https://cloud.google.com/kubernetes-engine/docs/how-to/cronjobs

Либо вы можете использовать планировщик GCP CLoud:

https://cloud.google.com/scheduler/docs/tut-pub-sub

Answer 2

Let's Encrypt сертификаты, созданные вручную с проверкой DNS, не могут быть обновлены, если вы не сохранили закрытый ключ, используемый для подписи исходного CSR, и не можете изменить серверы имен домена с вызовами TXT DNS.

Мне неизвестно о каких-либо приложениях, которые принимают предварительно созданные сертификаты SSL. Обычно эти приложения запускаются с нуля и настраивают все.

Я рекомендую установить Cert-Manager и переиздать сертификат SSL и настроить автоматическое продление.

Однако вы заявили, что хотите сделать это «без сервера». Есть много примеров создания SSL-сертификатов Let's Encrypt через вызов DNS в Интернете. Тем не менее, я не видел тот, который также обрабатывает обновления. Здесь нет технических проблем, вам просто нужен плагин, который изменяет ваши серверы имен с правильными записями TXT. Если вы понимаете интерфейс ACME, вы можете разработать собственное программное обеспечение. В противном случае я бы использовал Kubernetes Cert-Manager или другой поддерживаемый пакет.