Входящий управляемый сертификат, статус домена FailedNotVisible - PullRequest
Новая
       35

Входящий управляемый сертификат, статус домена FailedNotVisible

0 голосов
/ 17 января 2020

Я просто следую этому уроку: https://cloud.google.com/kubernetes-engine/docs/how-to/managed-certs#creating_an_ingress_with_a_managed_certificate

Все работает нормально, пока я не разверну свой сертификат и подожду 20 минут, пока он не отобразится как: 

Status:
  Certificate Name:    daojnfiwlefielwrfn
  Certificate Status:  Provisioning
  Domain Status:
    Domain:  moviedecisionengine.com
    Status:  FailedNotVisible

Этот домен явно работает, так что мне не хватает?

РЕДАКТИРОВАТЬ:

Вот сертификат: 

apiVersion: networking.gke.io/v1beta1
kind: ManagedCertificate
metadata:
    name: moviedecisionengine
spec:
    domains:
        - moviedecisionengine.com

Вход: 

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    ingress.gcp.kubernetes.io/pre-shared-cert: mcrt-14cb8169-25ba-4712-bca5-cb612562a00b
    ingress.kubernetes.io/backends: '{"k8s-be-31721--1cd1f38313af9089":"HEALTHY"}'
    ingress.kubernetes.io/forwarding-rule: k8s-fw-default-showcase-mde-ingress--1cd1f38313af9089
    ingress.kubernetes.io/https-forwarding-rule: k8s-fws-default-showcase-mde-ingress--1cd1f38313af9089
    ingress.kubernetes.io/https-target-proxy: k8s-tps-default-showcase-mde-ingress--1cd1f38313af9089
    ingress.kubernetes.io/ssl-cert: mcrt-14cb8169-25ba-4712-bca5-cb612562a00b
    ingress.kubernetes.io/target-proxy: k8s-tp-default-showcase-mde-ingress--1cd1f38313af9089
    ingress.kubernetes.io/url-map: k8s-um-default-showcase-mde-ingress--1cd1f38313af9089
    kubernetes.io/ingress.global-static-ip-name: 34.107.208.110
    networking.gke.io/managed-certificates: moviedecisionengine
  creationTimestamp: "2020-01-16T19:44:13Z"
  generation: 4
  name: showcase-mde-ingress
  namespace: default
  resourceVersion: "1039270"
  selfLink: /apis/extensions/v1beta1/namespaces/default/ingresses/showcase-mde-ingress
  uid: 92a2f91f-3898-11ea-b820-42010a800045
spec:
  backend:
    serviceName: showcase-mde
    servicePort: 80
  rules:
  - host: moviedecisionengine.com
    http:
      paths:
      - backend:
          serviceName: showcase-mde
          servicePort: 80
  - host: www.moviedecisionengine.com
    http:
      paths:
      - backend:
          serviceName: showcase-mde
          servicePort: 80
status:
  loadBalancer:
    ingress:
    - ip: 34.107.208.110

И, наконец, балансировщик нагрузки: 

apiVersion: v1
kind: Service
metadata:
  creationTimestamp: "2020-01-13T22:41:27Z"
  labels:
    app: showcase-mde
  name: showcase-mde
  namespace: default
  resourceVersion: "2298"
  selfLink: /api/v1/namespaces/default/services/showcase-mde
  uid: d5a77d7b-3655-11ea-af7f-42010a800157
spec:
  clusterIP: 10.31.251.46
  externalTrafficPolicy: Cluster
  ports:
  - nodePort: 31721
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: showcase-mde
  sessionAffinity: None
  type: LoadBalancer
status:
  loadBalancer:
    ingress:
    - ip: 35.232.156.172

Для полной производительности kubectl describe managedcertificate moviedecisionengine: 

Name:         moviedecisionengine
Namespace:    default
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"networking.gke.io/v1beta1","kind":"ManagedCertificate","metadata":{"annotations":{},"name":"moviedecisionengine","namespace...
API Version:  networking.gke.io/v1beta1
Kind:         ManagedCertificate
Metadata:
  Creation Timestamp:  2020-01-17T16:47:19Z
  Generation:          3
  Resource Version:    1042869
  Self Link:           /apis/networking.gke.io/v1beta1/namespaces/default/managedcertificates/moviedecisionengine
  UID:                 06c97b69-3949-11ea-b820-42010a800045
Spec:
  Domains:
    moviedecisionengine.com
Status:
  Certificate Name:    mcrt-14cb8169-25ba-4712-bca5-cb612562a00b
  Certificate Status:  Provisioning
  Domain Status:
    Domain:  moviedecisionengine.com
    Status:  FailedNotVisible
Events:      <none>

1 Ответ

1 голос
/ 21 января 2020

Мне удалось использовать Managedcertificate с ресурсом GKE Ingress.

Позвольте мне подробнее остановиться на этом:

Шаги для воспроизведения:

  • Создать IP-адрес с помощью gcloud
  • Обновление записи DNS
  • Создание развертывания
  • Создание службы
  • Создание сертификата
  • Создание ресурса Ingress

Создайте IP-адрес с помощью gcloud

. Вызовите нижеприведенную команду для создания стати c IP-адрес:

$ gcloud compute addresses create example-address --global

Проверьте вновь созданный IP-адрес с помощью следующей команды:

$ gcloud compute addresses describe example-address --global

Обновите запись DNS

Go до GCP -> Network Services -> Cloud DNS.

Измените свою зону с помощью A record с тем же адресом, который был создан выше.

Подождите, пока оно не будет применено.

Проверьте с помощью $ nslookup DOMAIN.NAME, указывает ли запись на соответствующий адрес.

Создайте развертывание

Ниже приведен пример развертывания, которое ответит на traffi c: 

apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello
spec:
  selector:
    matchLabels:
      app: hello
      version: 1.0.0
  replicas: 3
  template:
    metadata:
      labels:
        app: hello
        version: 1.0.0
    spec:
      containers:
      - name: hello
        image: "gcr.io/google-samples/hello-app:1.0"
        env:
        - name: "PORT"
          value: "50001"

Примените его с помощью команды $ kubectl apply -f FILE_NAME.yaml

Вы можете изменить это развертывание в соответствии с вашим приложением, но помните о портах, на которые будет реагировать ваше приложение.

Создать службу

Использовать NodePort так же, как в приведенной ссылке: 

apiVersion: v1
kind: Service
metadata:
  name: hello-service
spec:
  type: NodePort
  selector:
    app: hello
    version: 1.0.0
  ports:
  - name: hello-port
    protocol: TCP
    port: 50001
    targetPort: 50001

Применить его с помощью команды $ kubectl apply -f FILE_NAME.yaml

Создание сертификата

Как показано в руководстве, вы можете использовать приведенный ниже пример для создания ManagedCertificate: 

apiVersion: networking.gke.io/v1beta1
kind: ManagedCertificate
metadata:
  name: example-certificate 
spec:
  domains:
    - DOMAIN.NAME

Применить его с помощью команды $ kubectl apply -f FILE_NAME.yaml

Статус FAILED_NOT_VISIBLE указывает, что подготовка домена не удалась для домена из-за проблемы с DNS или конфигурации балансировки нагрузки. Убедитесь, что DNS настроен так, что домен сертификата разрешается в IP-адрес балансировщика нагрузки. - Документация Google Cloud

На создание этого сертификата должна повлиять запись DNS, которую вы предоставили ранее.

Создание ресурса Ingress

Ниже приведен пример ресурса Ingress, который будет использовать ManagedCertificate: 

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress
  annotations:
    kubernetes.io/ingress.global-static-ip-name: example-address
    networking.gke.io/managed-certificates: example-certificate
spec:
  rules:
  - host: DOMAIN.NAME
    http:
      paths:
      - path: /
        backend:
          serviceName: hello-service
          servicePort: hello-port

Применить его с помощью команды $ kubectl apply -f FILE_NAME.yaml

Потребовалось около 20-25 минут, чтобы все заработало.

...