ref: https://medium.com/flant-com/cert-manager-lets-encrypt-ssl-certs-for-kubernetes-7642e463bbce
這篇文章是個分享文,作者分享如何使用 cert-manager 這個工具透過 lets-encrypts 來獲得一個被認證的 SSL 憑證供 kubernetes 內部應用使用。
根據 CNCF Technology Radar(https://radar.cncf.io/2021-02-secrets-management) 的介紹,目前 Cert-Manager 幾乎是 k8s 內管理憑證最為知名的專案。
本篇文章針對幾個四種不同的使用情境來介紹如何使用 cert-manager,以下針對每個用法給一些摘要。
前期提要:
Kubernetes 會使用 SSL 憑證的大部分情況都是透過 Ingress 這個物件去描述需要使用 Certificate,所以文章的範例都會是基於 Ingress 的使用下手。
譬如說 Ingress 想要使用開啟 TLS 的功能,需要使用一個 secret,而 Cert-Manager 則會基於其設定最後產生出一個符合 Certificate 用法的 Secert 物件給 Ingress 使用。
Self-signed certificate
第一種是最簡單也是最直接的用法,透過 cert-manager 來產生一組自行簽署的簽證
正常情況下產生後的自簽憑證預設是不被信任的,畢竟預設情況下並沒有加入一個 CA,因此簽出來的憑證用瀏覽器打開還是會呈現不可信任
如果環境有事先準備好 CA 的話,是可以將該 CA 加入到 cert-manager 的設定中,這樣就可以簽出一個被信任的憑證了。
Let’s Encrypt certificate with the HTTP/DNS validation
第二個則是最普遍的用法,就是透過 Let's Encrypt 的服務來獲得一個可以被信任的憑證,而 Cert-Manager 目前支持兩種 ACME 的認證方式,分別是 HTTP 以及 DNS,這兩個方式最主要的目的都是要確認
申請者是該申請 domain 的擁有者,所以可以透過不同的方式來驗證。
如果想要使用 DNS 來進行驗證的則必須要確認該域名管理的服務商是否有提供相關的 API 同時該 API 是否 cert-manager 有支援,文章中作者使用 CloudFlare 來當範例展示一下如何使用 DNS 挑戰來驗證相關的 TXT Record.
由於 DNS Record 本身會有 Propagation 延遲傳遞的問題,因此驗證上通常會比使用 HTTP 的方式還來得慢一點。
Cert-Manager 本身也支援兩種方式同時使用。
另外使用 Let's Encrypt 時要特別注意,非常推薦一開始使用 Let's Encrypt Staging 的服務來進行測試,不要一開始就直接使用 Production 的 API,因為 Production 會將短時間內發送大量請求的網域給停權一陣子,要等待一段時間後才可以再次發送。
因此開發測試過程請先使用 Staging 的 API,待一切沒問題後才轉向 Production API。
Using special Ingress annotations
這種方法其實是簡化維運者的工作,Cert-Manager 會有一個額外的 Controller 去監聽所有的 Ingress 物件,如果該 Ingress 物件的 Annotation 有描述跟憑證相關的資訊,該 Controller
就會自動創造 cert-manager 相關的資源,讓管理者減少需要自己部署的物件數量,反而將部分操作轉交給 Controller 去處理。
網域 信任 在 小不點看世界•Paine吃玩世界旅遊趣 Facebook 的最讚貼文
臉書詐騙真的多,沒想到居然連小小的 #胖鍋真空機 也有詐騙。這是詐騙,買了他不會出貨,不然大概就出玩具給你。
拜託,加社團看真貨。公司貨。
🥂嚴選社團求加入 http://bit.ly/painebuy
我上次就有收到業務打給我,說現在已經有詐騙網頁,在賣胖鍋了,是不是很誇張。但我一直沒看到網頁。
剛剛有粉絲直接問我,這是真的嗎?
恩,我終於看到詐騙網頁了!價格就是一半而已。這種買下去,絕對收不到東西,但胖鍋官方也無法負責,因為真的不是他們家的。
大家看到這種網頁,也可以看一下他的網域,如果你電腦不懂,長輩不會,也要問一下晚輩,甚至問我都可以,不要一股腦下標啊!
這個網域是大陸的一頁式下單頁面,臉書上的好評一堆。現在有一種叫做「樁腳」,好評全都是假的。而且現在詐騙連「人頭樁腳」都經營得很好,都用很多年的帳號在騙。
防網路詐騙無腦減四步驟:
第一步驟:先看點廣告頁面的粉絲團確認真假(粉絲互動與經營時間)
第二步驟:點選網頁之後看網域的來源(這個長輩應該不懂,可以問晚輩)
第三步驟:問信任的任何人幫忙確認
第四步驟:找到官方聯絡資訊,確認出貨的公司貨
不然就是,從此不要再FB看廣告買東西~
網域 信任 在 李姓中壢選民 Facebook 的最讚貼文
<當政府一再大內宣多麼有能力向各國調疫苗、蔡總統從神隱到現在兩三天直播與大家談防疫,不正是為了安撫民怨,而民怨越積越深,難道不是越來越多人識破網軍伎倆,加深對政府的不滿?網軍是時代趨勢,但不可能阻擋人民監督政府,防疫已經走到人民開始不信任的階段,蔡總統應傾聽多方意見,細細體會藝人、善心人士的初心,從人文關懷的立場主政,才是一劑真正能在疫情中安撫人心的「國產疫苗」。>
蔡總統昨天去電賈永婕、黃光芹,也感謝郭台銘。但這些日子,不論出手幫忙還是扮演烏鴉,只要「逆時中」,不是被網軍圍剿就是被名嘴攻擊,蔡總統上任後,一直甩不開網軍的包袱,總統是統率三軍不是四軍,遠離網軍,多點人文關懷,才能真正做到「同島一命」。
總統昨天提到,「對願意幫忙的人,不該冷言冷語,更不可造謠生事及任何試圖挑起對立的言論」;但蔡總統不會不知道,自從民進黨再度執政後,網軍風氣越來越甚,初選對付自家人、大選攻擊對手,執政後壓制反對言論,這些網軍平常需要練兵,以備選舉打仗之用,側翼、網軍、1450總是在關鍵時刻,四面八方出現在無邊無際的網域中。
賈永婕捐物資,被罵;黃光芹募捐冷氣,被查水表;柯文哲妻子陳佩琪質疑衛福部聲稱曾寄給WHO警示新冠肺炎疫情的電郵,遭網友抨擊「舔共賣台」。
這次疫情,南投縣長林明溱建議讓地方政府買疫苗,主張買BNT,即被扣紅帽。新北市長侯友宜不僅被網軍攻擊,民進黨包括英系立委在內,更頻頻對他開槍,侯只好利用總統來電時提到,盼蔡英文「管一管底下的人」。
上述者或可說因為政治立場與民進黨迥異,但中研院士陳培哲,被形容綠到出汁,因為國產疫苗言論與看法立場與執政黨不同,更請辭國產疫苗審查委員,從此,堂堂受人尊敬的院士被綠營色彩的政論節目、側翼,攻擊成了毫無品格的人,最後再祭出慣有招數「抹紅」。
新聞透視》同島一命 總統請遠離網軍
https://www.chinatimes.com/newspapers/20210618000405-260118