写点什么

如何在 Rancher 2.x 中升级 cert-manageer?

  • 2020-05-18
  • 本文字数:2698 字

    阅读完需:约 9 分钟

如何在Rancher 2.x中升级cert-manageer?

作者:

Nassos Michas 丨 European Dynamics SA, CTO


如果你正在使用由 Rancher 提供的 Helm Chart 在 Rancher 管理的 Kubernetes 集群中安装 cert-manager,那么你最近也许收到了 Let’s Encrypt 发给你的提醒:



在集群中检查 cert-manager 的日志,你可以看到 Let’s Encrypt 拒绝更新证书的请求,因为“你的 ACME 客户端版本过旧,请升级到更新的版本”。那么,我们现在就开始吧!

使用 Rancher 提供的 Helm Chart 进行更新

我想你脑海里的第一想法应该和我的类似:使用相关的最新版本的 Helm Chart 升级 cert-manager。大家可以不用考虑这个选项,因为 Rancher 提供的 cert-manager Helm Chart 目前最新的是 0.5.2 版本,所以别想着一键式升级啦!

使用官方 Helm Chart 升级

参考链接:https://forums.rancher.com/t/update-on-cert-manager-application-in-the-catalog/15598


计划十分简单:只需要将 Rancher 提供的 cert-manager 的 Helm Chart 移除,并使用 Helm 中由 Jetstack 维护的 chart 替换即可。


在开始之前,我们需要保持谨慎。从 v0.5.2 到目前 stable 的版本 v0.11.0,许多内容都有所更改。新引入的 CRDs 和相应的配置格式将深刻地影响你的部署。因此,更新升级后,你需要将资源定义更新为新格式。幸运的是,cert-manager 为我们提供了升级脚本,我们会在下文中用到它。

移除 Rancher 提供的 Helm Chart

1、 登录你的 Rancher UI


2、 切换到最初安装 cert-manager 的项目(可能是 System)


3、 点击“APPs”


4、 点击垂直省略号按钮,然后选择“删除”。



现在,你已经移除了最开始安装的 cert-manager。请注意,这一操作不会影响此前已经创建的证书,并且你的 ingress 配置应该像之前一样工作。

安装 Tiller

Tiller 是 Helm 的服务端组件,所以为了能在我们的 CLI 中使用 Helm,我们需要在 Kubernetes 集群中安装 Tiller。你可以通过运行以下命令来验证 Tiller 是否已经安装:


helm version
复制代码



如果你的输出结果与以上结果类似,那么 Tiller 并没有安装好。如果你已经完成安装,那么请跳过这一部分。


好,现在我们来安装 Tiller。首先,我们需要创建一个服务账号,授予我们远程安装 Tiller 的权限,然后再授予安装 Chart 的权限。


kubectl -n kube-system create serviceaccount tillerkubectl create clusterrolebinding tiller \  --clusterrole=cluster-admin \  --serviceaccount=kube-system:tiller
复制代码


要启动安装 Tiller:


helm init --service-account tiller
复制代码


几秒钟之后,你能够通过重新输入命令 helm version 来验证 Tiller 是否已经安装,或者通过下列命令来验证你的 Kubernetes Tiller 部署:


kubectl -n kube-system rollout status deploy/tiller-deploy:
复制代码


安装 cert-manager

在安装 cert-manager 之前,我们需要做以下准备:


1、 禁用资源验证,以允许 cert-manager 的 webhook 组件正常工作


2、 安装新的(v0.11.1)的 CRDs


3、 添加 Jetstack repos


kubectl label namespace cert-manager certmanager.k8s.io/disable-validation=truekubectl apply --validate=false -f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.11/deploy/manifests/00-crds.yamlhelm repo add jetstack https://charts.jetstack.io && helm update
复制代码



此时,我们就准备好安装并且验证 cert-manager


helm install \  --name cert-manager \  --namespace cert-manager \  --version v0.11.0 \  jetstack/cert-managerkubectl get pods --namespace cert-manager
复制代码



cert-manager v0.11.0 安装成功

升级旧的资源参考和配置

参考链接:


https://cert-manager.io/docs/installation/upgrading/upgrading-0.10-0.11/


如果你检查你的 ingress 证书,你会发现什么都没有改变。这在意料之中,因为之前的版本 v0.5.2 中使用的 ingress 定义的配置不适用于 v0.11.0。cert-manager 为我们提供了简便的代码来查找哪个集群资源依旧引用旧的注释:


kubectl get ingress \      --all-namespaces \      -o json | \      jq '.items[] | select(.metadata.annotations| to_entries | map(.key)[] | test("certmana
复制代码



根据你的 Kubernetes 集群部署数量,以上列表可能会更短也可能会更长。而尝试去手动更改所有部署的旧注释可能会花费相当长的时间。以下 CLI 工具可以自动执行这一过程,但它不会对你的集群造成任何更改:


# 首先,根据你的平台下载二进制文件wget -O api-migration https://github.com/jetstack/cert-manager/releases/download/v0.11.0/api-migration-linux# 或者根据Darwinwget -O api-migration https://github.com/jetstack/cert-manager/releases/download/v0.11.0/api-migration-darwin
# 将二进制文件标记为可执行文件,然后对集群运行二进制文件chmod +x api-migration && ./api-migration --kubeconfig /path/to/my/kubeconfig.yaml
# 查看CLI的输出结果并且检查文件中的差异diff ingress.yaml ingress-migrated.yaml
# 最后,review了新的ingress资源之后,应用manifestkubectl apply -f ingress-migrated.yaml --kubeconfig /path/to/my/kubeconfig.yaml
复制代码


请确保更新所有 Ingress 资源,以保证您的证书保持最新状态。

重新引入集群 Issuer

我们现在基本上完成了,最后一步是我们需要重新引入集群 Issuer(如果你只希望将 kind 注释更改为 Issuer,也可以选择每个命名空间的 Issuer)。


使用 Let’s Encrypt stage 和 Production 以及 HTTP01 创建两个集群 Issuer,以下是代码摘要:


apiVersion: cert-manager.io/v1alpha2kind: ClusterIssuermetadata:  name: letsencrypt-stagingspec:  acme:    email: example@example.com    server: https://acme-staging-v02.api.letsencrypt.org/directory    privateKeySecretRef:      name: letsencrypt-staging-account-key    solvers:    - http01:        ingress:          class: nginx---apiVersion: cert-manager.io/v1alpha2kind: ClusterIssuermetadata:  name: letsencrypt-prodspec:  acme:    email: example@example.com    server: https://acme-v02.api.letsencrypt.org/directory    privateKeySecretRef:      name: letsencrypt-prod-account-key    solvers:    - http01:        ingress:          class: nginx
复制代码


在一两分钟之后,你的所有 ingress 都将更新为指向新颁发的证书。但是请记住,如果你之前的证书不在续订窗口内,那么你不会发现任何差异。


PS:针对 Rancher 本身的应用,cert-manager 支持的最高版本是 v0.9,如果是自有的应用服务,可以支持最新版本。

PPS:由于众所周知的原因,在国内不推荐使用 cert-manager,建议使用 10 年有效期的自签名证书。


2020-05-18 18:07630

评论

发布
暂无评论
发现更多内容

Centos7安装Mysql5.7(超详细版)

A-刘晨阳

MySQL Linux 运维 11月月更

高并发下丢失更新的解决方案

京东科技开发者

幻读 脏读 不可重复读 更新丢失

【昇思生态城市行】南京站圆满举办, 昇腾携手伙伴见证多项重磅发布!

Geek_2d6073

那些适用于跨境电商的ERP系统

SAP虾客

混合开发Hybrid App的优劣

Onegun

ios 混合应用开发 移动端 andiod 混合开发

5种典型 API 攻击及预防建议

SEAL安全

API API安全

桌面端软件的开发框架如何选型

Onegun

macos windows 桌面端 桌面应用

Karmada跨集群优雅故障迁移特性解析

华为云开发者联盟

云原生 后端 华为云

自动驾驶的「数据引擎」,该如何“降本”、“增效”和“精准化”?

澳鹏Appen

人工智能 自动驾驶 无人驾驶 智能驾驶 数据标注

聊聊Mybatis的数据源之工厂模式

急需上岸的小谢

11月月更

动手实践丨基于ModelAtrs使用A2C算法制作登月器着陆小游戏

华为云开发者联盟

人工智能 华为云 A2C算法

主流BI软件,哪一个软件使用效果更好?

夏日星河

centos安装python3/pip3项目所需的第三方模块(在线安装&&离线安装)

A-刘晨阳

Linux 运维 Python3 11月月更 pip3

【Linux】之【CPU】相关的命令及解析[lscpu、mpstat]

A-刘晨阳

Linux 运维 cpu 命令 11月月更

与时俱进「风险系统保障质量之路」非同寻常

京东科技开发者

自动化 风险识别 风险控制 预警监控 风险系统

学会二阶思维,你就能像巴菲特一样思考了

华为云开发者联盟

软件开发 开发 华为云 二阶思维

安卓??传奇!!探寻世界最大操作系统的崛起之路

博文视点Broadview

开源共建 | 中国移动冯江涛:ChunJun(原FlinkX)在数据入湖中的应用

袋鼠云数栈

flink 开源

PCB layout有DRC,为什么还要用CAM和DFM检查?

华秋PCB

PCB PCB设计 PCB工具

react源码中的生命周期和事件系统

flyzz177

React

你可见过如此细致的延时任务详解

骑牛上青山

Java redis kafka 延时队列

ERP 实施,甲方公司前期应该准备什么?

SAP虾客

室内高清led电子显示屏的定义

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

百度架构师手写万字Spring Security实战笔记,一篇就搞懂

小小怪下士

Java spring springsecurity

ERP系统能给企业带来的那些好处

SAP虾客

大数据分析如何进行?瓴羊Quick BI成为了很重要的工具

小偏执o

炎凰数据完成超亿元 A1 和 A1+ 轮融资,推出异构数据即时分析平台

晨山资本

大数据 大数据处理 大数据分析

聊聊Mybatis的数据源之PooledDataSource

急需上岸的小谢

11月月更

SAP ERP系统里的那些核心主数据

SAP虾客

算法基础:区间合并算法及模板应用

timerring

11月月更 区间合并 算法学习

云小课|云小课带您快速了解LTS可视化查看

华为云开发者联盟

云计算 后端 华为云

如何在Rancher 2.x中升级cert-manageer?_文化 & 方法_Rancher_InfoQ精选文章