GKE Ingress不使用cert-manager ssl密钥

Question

我正在尝试让letsencrypt与GKE LB一起工作，我知道有GCP管理的证书，但它不会与内部LB一起工作，因为挑战不会通过。Letsencrypt DNS认证使用cert-manager已经存在，可以使用了。

❯ k get secrets letsencrypt-prod -o yaml
apiVersion: v1
data:
  tls.key: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb3dJQkFBS0NBUUVBdlVZTVhXdGNZZUJpMkdadzljRFRLNzY==
kind: Secret
metadata:
  creationTimestamp: "2021-01-24T15:03:39Z"
  name: letsencrypt-prod
  namespace: elastic-system
  resourceVersion: "3636289"
  selfLink: /api/v1/namespaces/elastic-system/secrets/letsencrypt-prod
  uid: f4bec5a9-d3b5-4f4a-9ec6-01a4ce3ba47c
type: Opaque

spec:
  tls:
    - hosts:
      - staging.example.com
      - staging2.example.com
      secretName: letsencrypt-prod

报告此错误的GCP Error syncing to GCP: error running load balancer syncing routine: error getting secrets for Ingress: secret "letsencrypt-prod" does not specify cert as string data

有没有人能帮我补上它缺失的部分？

Answer 1

实际上，它在文档中遗漏了，或者我遗漏了，因为示例中到处都使用与元数据相同的名称。

---
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: cert-example
  namespace: example
spec:
  secretName: REAL_NAME_OF_SECRET << This need to include in ingress.
  issuerRef:
    name: letsencrypt-prod
  dnsNames:
  - 'staging.domain.com'
  - '*.staging.domain.com'

所以你应该把REAL_NAME_OF_SECRET放在入口或任何你想使用tls.crt或tls.key的地方。

Answer 2

根据this，您必须提供GCP的有效格式，如您已经提供的Let's Encrypt有效证书：

kubectl create secret generic letsencrypt-prod --from-file=tls.crt="cert.pem" --from-file=tls.key="privkey.pem" --dry-run -o yaml > output
kubectl apply -f output

此外，(看起来您已经在使用它了，但是安全总比抱歉好)，您必须按照this在Ingress的tls部分中定义它