别再手动传证书了!Kubernetes里用cert-manager自动管理TLS证书的保姆级教程
告别手动证书管理:cert-manager在Kubernetes中的全自动TLS实践
当微服务架构遇上Kubernetes,TLS证书管理往往成为运维人员最头疼的问题之一。想象一下,凌晨三点被证书过期的告警吵醒,手忙脚乱地续签证书、更新Secret、滚动重启Pod...这种场景在采用cert-manager后将成为历史。作为云原生证书管理的标杆工具,cert-manager不仅能自动处理Let's Encrypt证书的申请和续期,还能无缝集成各类Issuer实现企业级证书生命周期管理。
1. 为什么需要cert-manager?
传统证书管理方式存在三大痛点:人工操作繁琐、过期风险难控、多环境一致性差。以典型的Let's Encrypt证书为例,每90天就需要手动续期一次,在拥有上百个服务的生产环境中,这种重复劳动不仅效率低下,还容易因疏忽导致服务中断。
cert-manager通过以下机制彻底改变游戏规则:
- 自动化工作流:监控证书有效期,提前自动续期
- 声明式API:通过Kubernetes原生资源定义证书需求
- 多CA支持:兼容Let's Encrypt、Venafi、HashiCorp Vault等证书颁发机构
- 安全存储:自动将证书和私钥存入Kubernetes Secret
# 传统方式 vs cert-manager方式对比 传统方式: 人工申请证书 -> 创建Secret -> 配置Ingress -> 监控过期 -> 手动续期 cert-manager方式: 定义Certificate资源 -> 自动完成所有流程2. 环境部署与基础配置
2.1 安装cert-manager
推荐使用Helm进行一键化部署,确保组件完整且配置规范:
helm repo add jetstack https://charts.jetstack.io helm repo update helm install cert-manager jetstack/cert-manager \ --namespace cert-manager \ --create-namespace \ --version v1.8.0 \ --set installCRDs=true安装后验证各组件状态:
kubectl get pods -n cert-manager预期输出应显示三个Pod均为Running状态:
NAME READY STATUS cert-manager-7cd5cdf774-vb5jr 1/1 Running cert-manager-cainjector-64c949654-jw9hn 1/1 Running cert-manager-webhook-5f4d766b5d-6hkzg 1/1 Running2.2 配置Let's Encrypt Issuer
根据ACME协议要求,cert-manager需要通过域名验证来确认申请者对域名的控制权。配置分为生产环境和测试环境两种Issuer:
# 生产环境Issuer(有速率限制) apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: letsencrypt-prod spec: acme: server: https://acme-v02.api.letsencrypt.org/directory email: admin@yourdomain.com privateKeySecretRef: name: letsencrypt-prod-account-key solvers: - http01: ingress: class: nginx # 测试环境Issuer(无严格限制) apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: letsencrypt-staging spec: acme: server: https://acme-staging-v02.api.letsencrypt.org/directory email: admin@yourdomain.com privateKeySecretRef: name: letsencrypt-staging-account-key solvers: - http01: ingress: class: nginx注意:生产环境Issuer受Let's Encrypt的速率限制(每周50张证书/域名),测试阶段应优先使用staging环境
3. 证书签发实战
3.1 为Ingress自动附加证书
最典型的应用场景是为Ingress资源自动配置HTTPS。cert-manager通过注解识别需求:
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: web-app annotations: cert-manager.io/cluster-issuer: "letsencrypt-prod" spec: tls: - hosts: - app.yourdomain.com secretName: app-tls-secret rules: - host: app.yourdomain.com http: paths: - path: / pathType: Prefix backend: service: name: web-app port: number: 80cert-manager会自动完成以下操作:
- 创建Certificate资源
- 通过ACME协议完成域名验证
- 将获取的证书存入指定Secret
- 监控证书有效期并在到期前自动续期
3.2 独立证书管理
对于非Ingress场景(如gRPC服务),可直接定义Certificate资源:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: grpc-cert spec: secretName: grpc-tls-secret duration: 2160h # 90天 renewBefore: 720h # 到期前30天开始续期 issuerRef: name: letsencrypt-prod kind: ClusterIssuer dnsNames: - grpc.yourdomain.com - "*.grpc.yourdomain.com"证书状态可通过以下命令检查:
kubectl get certificate健康状态应显示为Ready=True:
NAME READY SECRET AGE grpc-cert True grpc-tls-secret 2d4. 高级配置与最佳实践
4.1 多CA策略配置
企业级环境通常需要根据证书用途选择不同CA:
| CA类型 | 适用场景 | 配置示例 |
|---|---|---|
| Let's Encrypt | 对外服务 | ACME HTTP-01验证 |
| Vault PKI | 内部服务 | Vault AppRole认证 |
| Private CA | 特殊合规要求 | 自签名CA链配置 |
Vault Issuer配置示例:
apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: vault-issuer spec: vault: server: https://vault.yourdomain.com path: pki/sign/your-role auth: appRole: path: approle roleId: "your-role-id" secretRef: name: vault-approle-secret key: secret-id4.2 证书轮换策略
通过调整Certificate资源的duration和renewBefore参数实现灵活续期:
spec: duration: 8760h # 1年有效期 renewBefore: 720h # 提前1个月续期 revisionHistoryLimit: 3 # 保留历史版本数关键提示:Let's Encrypt证书最长有效期为90天,设置更长的duration会被自动截断
4.3 监控与告警
建议配置Prometheus监控以下关键指标:
- alert: CertificateExpiringSoon expr: certmanager_certificate_expiration_timestamp_seconds - time() < 86400 * 30 for: 5m labels: severity: warning annotations: summary: "Certificate expiring soon (instance {{ $labels.instance }})" description: "Certificate {{ $labels.name }} will expire in 30 days"5. 故障排查指南
遇到证书签发问题时,按以下步骤排查:
检查Issuer状态:
kubectl get issuer,clusterissuer -o wide查看Certificate事件:
kubectl describe certificate <name>检查Order资源(ACME专用):
kubectl get orders.acme.cert-manager.io查看Pod日志:
kubectl logs -n cert-manager deploy/cert-manager
常见问题解决方案:
| 错误现象 | 可能原因 | 解决方案 |
|---|---|---|
| Issuer状态不健康 | 网络策略限制 | 检查到CA服务器的网络连通性 |
| ACME验证失败 | DNS配置错误 | 确认域名解析指向正确Ingress |
| 证书未自动续期 | renewBefore设置过大 | 调整为小于证书有效期的1/3 |
| Secret未生成 | RBAC权限不足 | 检查ServiceAccount权限 |
在Kubernetes集群中实施cert-manager后,我们的某个生产系统证书管理时间从每月40人时降至接近零,同时彻底消除了因证书过���导致的服务中断事故。最令人惊喜的是,当需要将服务迁移到新集群时,只需重新部署相同的Certificate资源定义,所有证书都会自动重新签发和配置,极大提升了环境一致性。