сертификат-менеджер после серьезного обновления перестал работать

Question

Проблема возникла после серьезного обновления cert-manager с версии 0.6.0 до 0.11.0. Обновление было обработано посредством резервного копирования конфигурации, удаления cert-manager, обновления helm, затем установки cert-manager и восстановления резервной копии. Конфигурация не изменяется во время обновления.

Модуль и служба работают, но сертификаты не выдаются после обновления.

Есть журналы для службы диспетчера сертификатов:

 E0114 04:34:18.126497       1 sync.go:57] cert-manager/controller/ingress-shim "msg"="failed to determine issuer to be used for ingress resource" "error"="failed to determine issuer name to be used for ingress resource" "resource_kind"="Ingress" "resource_name"="ucb-sandbox-ingress" "resource_namespace"="cloud-engagement-sandbox" 
I0114 04:34:18.126791       1 controller.go:135] cert-manager/controller/ingress-shim "level"=0 "msg"="finished processing work item" "key"="cloud-engagement-sandbox/ucb-sandbox-ingress" 
I0114 04:34:18.127064       1 controller.go:129] cert-manager/controller/ingress-shim "level"=0 "msg"="syncing item" "key"="cloud-engagement-sandbox/ucf-sandbox-ingress" 
E0114 04:34:18.127294       1 sync.go:57] cert-manager/controller/ingress-shim "msg"="failed to determine issuer to be used for ingress resource" "error"="failed to determine issuer name to be used for ingress resource" "resource_kind"="Ingress" "resource_name"="ucf-sandbox-ingress" "resource_namespace"="cloud-engagement-sandbox" 
I0114 04:34:18.127534       1 controller.go:135] cert-manager/controller/ingress-shim "level"=0 "msg"="finished processing work item" "key"="cloud-engagement-sandbox/ucf-sandbox-ingress" 

Мой ClusterIssuer yaml:

apiVersion: certmanager.k8s.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [removed]
    privateKeySecretRef:

      name: letsencrypt-prod
    http01: {}

И опишите ClusterIssuer letsencrypt-prod

ClusterIssuer letsencrypt-prod
Name:         letsencrypt-prod
Namespace:
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"certmanager.k8s.io/v1alpha1","kind":"ClusterIssuer","metadata":{"annotations":{},"creationTimestamp":"2019-02-17T22:42:55Z"...
API Version:  certmanager.k8s.io/v1alpha1
Kind:         ClusterIssuer
Metadata:
  Creation Timestamp:  2019-02-17T22:42:55Z
  Generation:          1
  Resource Version:    53383155
  Self Link:           /apis/certmanager.k8s.io/v1alpha1/clusterissuers/letsencrypt-prod
  UID:                 5e0c332f-3305-11e9-93cb-069443f5754c
Spec:
  Acme:
    Email:  [removed]
    Http 01:
    Private Key Secret Ref:
      Key:
      Name:  letsencrypt-prod
    Server:  https://acme-v02.api.letsencrypt.org/directory
Status:
  Acme:
    Uri:  https://acme-v02.api.letsencrypt.org/acme/acct/51694394
  Conditions:
    Last Transition Time:  2019-02-17T22:42:57Z
    Message:               The ACME account was registered with the ACME server
    Reason:                ACMEAccountRegistered
    Status:                True
    Type:                  Ready
Events:                    <none>

Answer 1

apiVersion был изменен с certmanager.k8s.io/v1alpha1 на cert-manager.io/v1alpha2. Но у вас все еще есть CRD со старым apiVersion, который вам нужно удалить.

Выполните приведенные ниже шаги для обновления диспетчера сертификатов, обращая внимание на шаги 3 и 4.

1.Скопируйте существующие ресурсы диспетчера сертификатов в соответствии с руководством по резервному копированию и восстановлению .

2. Удалите cert-manager

3. Убедитесь, что старые ресурсы CRD cert-manager также были удалены: kubectl get crd | grep certmanager.k8s.io

4. Обновите apiVersion для всех резервных копий ресурсов с certmanager.k8s.io/v1alpha1 до cert-manager.io/v1alpha2.

5.Re- установить cert-manager с нуля в соответствии с руководством по установке

Вот официальное руководство по обновлению

Answer 2

Это отсортировано. Виновник был в 1) неполной установке cert-manager. 2) Также я изменил резервную копию и заменил ВСЕ certmanager.k8s.io на cert-manager.io и v1alpha1 на v1alpha2. 3) вручную удалили другие связанные с certmanager.k8s.io CRDs

Answer 3

Спасибо за ответ. Я удалил старый CRD после helm purge cert-manager и установил fre sh версии 0.12, используя манифесты. Мой текущий CRD ниже:

kubectl get crd 
NAME                                    CREATED AT
certificaterequests.cert-manager.io     2019-11-01T01:37:03Z
certificates.cert-manager.io            2019-11-01T01:37:03Z
challenges.acme.cert-manager.io         2019-11-01T01:37:03Z
challenges.certmanager.k8s.io           2020-01-15T05:31:48Z
clusterissuers.cert-manager.io          2019-11-01T01:37:03Z
healthstates.azmon.container.insights   2019-08-29T10:13:59Z
issuers.cert-manager.io                 2019-11-01T01:37:03Z
orders.acme.cert-manager.io             2019-11-01T01:37:03Z
orders.certmanager.k8s.io               2020-01-15T05:31:49Z

И обновленное описание ClusterIssuer

kubectl describe ClusterIssuer letsencrypt-prod
Name:         letsencrypt-prod
Namespace:
Labels:       <none>
Annotations:  <none>
API Version:  cert-manager.io/v1alpha2
Kind:         ClusterIssuer
Metadata:
  Creation Timestamp:  2020-01-15T05:38:32Z
  Generation:          1
  Resource Version:    71299934
  Self Link:           /apis/cert-manager.io/v1alpha2/clusterissuers/letsencrypt-prod
  UID:                 4465c9ce-3759-11ea-be9c-0a7022c023e8
Spec:
  Acme:
    Email:  
    Private Key Secret Ref:
      Name:  letsencrypt-prod
    Server:  https://acme-v02.api.letsencrypt.org/directory
    Solvers:
      Http 01:
        Ingress:
          Class:  nginx
      Selector:
Events:  <none>

У меня нет входа в пространство имен cert-manager. Кроме того, моя резервная копия содержит старые сертификаты, CRD, эмитенты, сертификаты и запросы сертификатов и т. Д. c, но я не знаю, как восстановить только то, что нужно.