0

我想使用暴露的 Nginx Ingress Controller 访问我的 Kubernetes 裸机集群以进行 TLS 终止。为了能够自动更新证书,我想使用 Kubernetes 插件cert-manager,它是 kube-lego 的继任者。

到目前为止我做了什么:

  • 按照本指南,使用 kubeadm 和 flannel 作为 pod 网络在裸机(1 个 master,1 个 minion,均运行 Ubuntu 16.04.4 LTS)上设置 Kubernetes (v1.9.3) 集群。

  • 使用 Kubernetes 包管理器helm安装nginx-ingress(图表版本 0.9.5)
    helm install --name nginx-ingress --namespace kube-system stable/nginx-ingress --set controller.hostNetwork=true,rbac.create=true,controller.service.type=ClusterIP

  • 使用 helm安装cert-manager(图表版本 0.2.2)
    helm install --name cert-manager --namespace kube-system stable/cert-manager --set rbac.create=true

当我使用 Ingress 资源进行测试时,Ingress Controller 已成功公开并按预期工作。为了使用 cert-manager 进行适当的 Let's Encrypt 证书管理和自动续订,我首先需要一个 Issuer 资源。我从这个acme-staging-issuer.yaml创建它:

apiVersion: certmanager.k8s.io/v1alpha1
kind: Issuer
metadata:
  name: letsencrypt-staging
  namespace: default
spec:
  acme:
    server: https://acme-staging.api.letsencrypt.org/directory
    email: email@example.com
    privateKeySecretRef:
      name: letsencrypt-staging
    http01: {}

kubectl create -f acme-staging-issuer.yaml运行成功,但kubectl describe issuer/letsencrypt-staging给了我:

Status:
  Acme:
    Uri:  
  Conditions:
    Last Transition Time:  2018-03-05T21:29:41Z
    Message:               Failed to verify ACME account: Get https://acme-staging.api.letsencrypt.org/directory: tls: oversized record received with length 20291
    Reason:                ErrRegisterACMEAccount
    Status:                False
    Type:                  Ready
Events:
  Type     Reason                Age               From                     Message
  ----     ------                ----              ----                     -------
  Warning  ErrVerifyACMEAccount  1s (x11 over 7s)  cert-manager-controller  Failed to verify ACME account: Get https://acme-staging.api.letsencrypt.org/directory: tls: oversized record received with length 20291
  Warning  ErrInitIssuer         1s (x11 over 7s)  cert-manager-controller  Error initializing issuer: Get https://acme-staging.api.letsencrypt.org/directory: tls: oversized record received with length 20291

如果没有现成的颁发者,我将无法继续生成 cert-manager 证书或使用 ingress-shim(用于自动续订)。

我的设置中缺少什么?使用hostNetwork=true公开入口控制器是否足够,或者是否有更好的方法在裸机集群上公开其端口 80 和 443?如何解决tls:创建 cert-manager Issuer 资源时收到的超大记录错误?

4

1 回答 1

0

tls: oversized record received错误是由/etc/resolv.confKubernetes minion配置错误引起的。可以通过如下编辑来解决:

$ sudo vi /etc/resolvconf/resolv.conf.d/base

添加名称服务器列表:

nameserver 8.8.8.8
nameserver 8.8.4.4

更新解析配置:

$ sudo resolvconf -u
于 2018-03-14T00:24:43.477 回答