Erasure Code 計算器 
參考硬體 cert-manager
使用 cert-manager 進行 TLS 憑證管理
本指南將說明如何安裝 cert-manager 進行 TLS 憑證管理。本指南假設全新或全新的 MinIO Operator 安裝。
注意
本指南使用自我簽署的 Cluster Issuer。您也可以使用cert-manager 支援的其他簽發者。
主要區別在於,您必須向 MinIO 提供該 Issuer CA 憑證,而不是本指南中提到的 CA。
有關更進階的設定,請參閱cert-manager 文件以及您自己組織的憑證要求。
cert-manager 管理 Kubernetes 叢集內的憑證。MinIO Operator 支援使用 cert-manager 來管理和佈建憑證,作為 MinIO Operator 管理其自身及其租戶憑證的替代方案。
cert-manager 從 Issuer 或 ClusterIssuer 取得有效的憑證,並可以在過期前自動續訂憑證。
ClusterIssuer 發出多個命名空間的憑證。Issuer 只會為其自己的命名空間生成憑證。
下圖說明 cert-manager 如何在 Kubernetes 叢集的命名空間中提供憑證。
ClusterIssuer位於 Kubernetes 叢集的根層級,通常是default命名空間,以便向所有其他命名空間提供憑證。minio-operator命名空間會收到其自身的本機Issuer。每個租戶的命名空間都會收到其自身的本機
Issuer。每個租戶命名空間頒發的憑證必須讓 MinIO Operator 知悉並信任。
先決條件
已安裝 kustomize
對您的
k8s叢集的kubectl存取權
設定 cert-manager
安裝 cert-manager
以下命令使用 kubectl 安裝 1.12.13 版。
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.12.13/cert-manager.yaml
建議使用 1.12.X LTS 版本,但您也可以安裝最新版本。有關安裝 cert-manager 的更多詳細資訊,請參閱其安裝說明。
為叢集建立自我簽署的 Cluster Issuer
Cluster Issuer 是最高層級的簽發者,叢集中所有其他憑證都由此衍生。
請求 cert-manager 通過建立
ClusterIssuer資源來生成此簽發者。建立一個名為
selfsigned-root-clusterissuer.yaml的檔案,內容如下# selfsigned-root-clusterissuer.yaml apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: selfsigned-root spec: selfSigned: {}
將資源應用於叢集
kubectl apply -f selfsigned-root-clusterissuer.yaml
後續步驟
設定 適用於 MinIO Operator 的 cert-manager。
