Comments 5
Чтобы воспользоваться этим способом выпуска SSL-сертификатов, у вас
должны быть лишний кластер Kubernetes и FreeIPA, между которыми
настроена сетевая связность.
ну так то да, а чем не устроил тот же certbot ?
Приветствую! Данная статья является одним из кейсов, аля "Как можно зайти в дом".
Certbot выпускал в основном для LE-сертификатов, не доводилось менять его логику на что-то другое.
Если так получилось, что в компании хочется выпускать сертификаты со своим CA и приклеивать к своим внутренним сервисам - данный кейс поможет решить проблему (в том числе и обновление). Больше решений - больше выбора =)
А зачем у вас у ClusterIssuer указан namespace?
а у меня для этого просто запущен контейнер jwilder/nginx-proxy (который by default у меня используется на всех серверах) и к нему запущен контейнер lensencrypt-nginx-companion, тоже вроде от jwilder и я вообще не парюсь о сертификатах уж несколько лет. При этом контейнеры с nginx конкретных проектов, настроены под работу без ssl, что позволяет без плясок с бубном запускать их даже локально. А когда появляется новый nginx с новым доменом, то jwilder сам выпускает для него новый сертификат и сам следит за его статусом
Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA