GKE Autopilot:如何向GKE autopilot添加/管理SSL证书

Question

我最近设置了一个GKE自动驾驶，但意识到它不支持cert-manager所依赖的webhooks。要将SSL证书添加/管理到GKE自动引导集群，我们还有哪些其他选择？

Answer 1

截至2021年5月，GKE Autopilot不支持第三方网络挂钩。如果没有webhooks，很多Kubernetes插件，比如cert-manager就不能正常运行。证书管理器使用自定义的变异准入webhook来管理证书，这在GKE Autopilot上是不变的。

要为自动驾驶集群添加/管理SSL证书，您应该首先从这个官方GCP文档Google-managed SSL certificates开始。

您可以使用ManagedCertificate自定义资源配置Google管理的SSL证书，根据您的GKE集群版本，该资源在不同的API版本中可用。建议您使用较新的API版本。

GKE集群1.15版本提供

• ManagedCertificate v1beta2 API，GKE集群1.17.9-gke.6300及更高版本提供later.
• ManagedCertificate v1 API。

备注：谷歌管理的SSL证书目前不支持内部HTTPS负载均衡器。对于内部HTTPS负载均衡器，请改用自我管理的SSL证书。此功能仅适用于入口，用于外部HTTP(S)负载均衡，可读取更多here。

要配置Google管理的SSL证书并将其与Ingress关联，请首先执行以下两个基本步骤：

通过向入口处添加注释Ingress.

• Associate
• /Ingress.
• Associate- ManagedCertificate，在与管理证书对象相同的名称空间中创建一个ManagedCertificate对象。此注释是一个逗号分隔的ManagedCertificate资源列表，例如cert1、cert2、cert3。这在detail here.

中提到过

你必须遵循一些prerequisites

类你必须拥有的域名(Google域或另一个类“kubernetes.io/

• ”必须是一个保留的(静态)外部IP地址。如果您不保留地址，它可能会更改，要求您重新配置域的DNS记录。

要设置谷歌管理的证书，请访问sample ManagedCertificate manifest。

Answer 2

带GKE Autopilot的cert-manager is now compatible。