Как заменить «фальшивый сертификат Kubernetes» на сертификат с подстановочными символами (на голом железном частном облаке) Nginx Ingress и менеджер сертификатов

Question

Мы настроили кластер Kubernetes на нашем голом железном сервере.

Мы развертываем наше приложение, где каждое пространство имен является приложением для конечного пользователя. то есть customer1.mydomain.com -> пространство имен: cust1

Мы продолжаем получать сертификат лица на входе в Kubernetes.

Мы приобрели собственные сертификаты подстановочных знаков * .mydomain.com

#kubectl create secret tls OUR-SECRET --key /path/private.key --cert /path/chain.crt -n ingress-nginx
#kubectl create secret tls OUR-SECRET --key /path/private.key --cert /path/chain.crt -n kube-system

ingress.yaml

apiVersion: certmanager.k8s.io/v1alpha1  
kind: Certificate  
metadata:  
  name: ourcloud
  namespace: cert-manager
spec:  
  secretName: oursecret
  issuerRef:
    name: letsencrypt-prod
  commonName: '*.mydomain.com'
  acme:
    config:
    - dns01:
        provider: cf-dns-prod
      domains:
      - '*.mydomain.com'

kubectl apply -f ingress.yaml
certificate.certmanager.k8s.io/ourcloud created

https://cust1.mydomain.com соединяется с Сертификатом лица контроллера входа Kubernetes

Answer 1

Я нашел проблему. У меня было неправильное имя файла в моем yaml для файлов сертификата. Всегда приятно смотреть на входные журналы

kubectl logs nginx-ingress-controller-689498bc7c-tf5 -n ingress-nginx   



kubectl get -o yaml  ingress --all-namespaces

Попробуйте воссоздать секрет из файлов и посмотрите, работает ли он.

kubectl delete -n cust4 SECRETNAME

kubectl -n cust4 create secret tls SECRETENAME --key key.key --cert cert.crt