混合云对象存储
裸机
纠删码计算器
参考硬件
cert-manager
使用 cert-manager 管理 TLS 证书
本指南介绍如何安装用于 TLS 证书管理的 cert-manager。 本指南假设安装了新的或全新的 MinIO Operator。
备注
本指南使用自签名的 Cluster Issuer 。
您也可以使用 https://cert-manager.io/docs/configuration/issuers/ 支持的其他发行者。
主要区别在于,您必须向 MinIO 提供 Issuer CA 证书,而不是本指南中提到的 CA 证书。
有关更高级的配置,请参阅 cert-manager documentation 和你自己组织的证书要求。
cert-manager 管理 Kubernetes 集群内的证书。 MinIO 操作员支持使用 cert-manager 管理和配置证书,以替代 MinIO 操作员为自身及其租户管理证书。
cert-manager 可从 Issuer 或 ClusterIssuer 处获取有效证书,并可在证书到期前自动更新证书。
ClusterIssuer为多个命名空间颁发证书。Issuer只为自己的命名空间铸造证书。
下图描述了 cert-manager 如何在 Kubernetes 集群的命名空间中提供证书。
Kubernetes集群的根级别(通常是
default命名空间)存在一个ClusterIssuer(ClusterIssuer),为所有其他命名空间提供证书。minio-operator `` 命名空间有自己的本地 ``Issuer。每个租户的命名空间都有自己的本地
Issuer。MinIO 操作员必须知道并信任每个租户命名空间签发的证书。
前提条件
设置认证管理器
安装证书管理器
以下命令使用 kubectl 安装 1.12.13 版。
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.12.13/cert-manager.yaml
Release 1.12.X LTS 为首选,但也可以安装最新版本。 有关安装证书管理器的更多详情,请参阅 installation instructions 。
为群集创建自签名群集签发器
Cluster Issuer是最高级别的签发人,集群中的所有其他证书都来自该签发人。
请求证书管理器通过创建
ClusterIssuer资源生成此证书。创建名为
selfsigned-root-clusterissuer.yaml的文件,内容如下:# selfsigned-root-clusterissuer.yaml apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: selfsigned-root spec: selfSigned: {}
将资源应用到群集:
kubectl apply -f selfsigned-root-clusterissuer.yaml
下一步
设置 cert-manager for the MinIO Operator 。
商业支持购买咨询