Kubernetes环境cert-manager部署与应用

更新记录

2023-04-14
- cert-manager版本由v1.11.0更新至v1.11.1；
2023-06-02
- cert-manager版本由v1.11.1更新至v1.12.1；
2023-06-24
- cert-manager版本由v1.12.1更新至v1.12.2；
2023-08-08
- cert-manager版本由v1.12.2更新至v1.12.3；
2023-10-19
- cert-manager版本由v1.12.3更新至v1.13.1；
2023-11-20
- cert-manager版本由v1.13.1更新至v1.13.2；
2024-01-01
- cert-manager版本由v1.13.2更新至v1.13.3；
2024-02-10
- cert-manager版本由v1.13.3更新至v1.14.2；
2024-09-30
- cert-manager版本由v1.14.2更新至v1.15.3；
2025-01-25
- cert-manager版本由v1.15.3更新至v1.16.3；
2025-03-08
- cert-manager版本由v1.16.3更新至v1.17.1；
2025-05-01
- cert-manager版本由v1.17.1更新至v1.17.2；
2025-09-06
- cert-manager版本由v1.17.2更新至v1.18.2；
2026-04-05
- cert-manager版本由v1.18.2更新至v1.20.1；

概述

本文用于整理基于Kubernetes环境的cert-manager部署与应用，实现证书管理和Ingress启用TLS配置。

随着各相关组件版本的更新，笔者将在验证通过后对本文进行补充和更新，请参考更新记录。

本次演练环境为Kubernetes集群环境，环境配置可参考笔者另一篇笔记《Kubernetes集群部署笔记》。

本次演练使用Traefik作为Ingress Controller实现，环境配置可参考笔者另一篇笔记《Kubernetes环境Traefik部署与应用》。

本次演练使用Cloudflare提供的DNS解析服务，并假定读者已经注册了Cloudflare并正确配置了网站。有关Cloudflare的配置和使用，请参考Cloudflare帮助中心或相关文档。

组件版本

cert-manager v1.20.1

配置过程

安装cert-manager

参考官方文档，使用kubectl安装cert-manager，所有参数使用默认值，这将会把cert-manager安装至cert-manager命名空间。
```
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.20.1/cert-manager.yaml
```

配置Issuer和ClusterIssuer

配置API Token

本次演练使用Cloudflare提供的DNS解析服务，实现通过DNS-01质询方式申请证书，可根据需要替换为其他支持的DNS-01验证程序，或通过Webhook方式扩展cert-manager对其他DNS解析服务的支持。

首先，登录Cloudflare控制面板，打开API Tokens页面，按照cert-manager文档中的说明，创建一个API Token，记录该API Token的值用于后续操作。
```
- Permissions
  - Zone - DNS - Edit
  - Zone - Zone - Read
- Zone Resources:
  - Include - All Zones
```

创建Issuer和ClusterIssuer

cert-manager提供两种用于签发证书的对象：Issuer和ClusterIssuer，简单地说，Issuer是命名空间级别的资源，无法用于处理跨命名空间的证书签发请求；ClusterIssuer是集群级别的资源，可以用于处理跨命名空间的证书签发请求。

创建一个Issuer对象。

cat <<EOF | kubectl apply -f - > /dev/null
apiVersion: v1
kind: Secret
metadata:
  name: cloudflare-api-token-secret
  namespace: apps-choral
type: Opaque
stringData:
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: cloudflare-acme-issuer
  namespace: apps-choral
spec:
  acme:
    email: '<REDACTED>'
    # 配置证书目录，演练环境使用Staging环境
    # server: https://acme-v02.api.letsencrypt.org/directory
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: acme-issuer-account-key
    solvers:
    - dns01:
        cloudflare:
          apiTokenSecretRef:
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
            key: api-token
EOF

创建一个ClusterIssuer对象。

cat <<EOF | kubectl apply -f - > /dev/null
apiVersion: v1
kind: Secret
metadata:
  name: cloudflare-api-token-secret
  namespace: cert-manager # 这里配置为安装cert-manager资源的命名空间
type: Opaque
stringData:
  api-token: '<REDACTED>' # 这里的值为[配置API Token]一节中创建的API Token值

---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: cloudflare-acme-cluster-issuer
spec:
  acme:
    email: '<REDACTED>'
    # 配置证书目录，演练环境使用Staging环境
    # server: https://acme-v02.api.letsencrypt.org/directory
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: acme-issuer-account-key
    solvers:
    - dns01:
        cloudflare:
          apiTokenSecretRef:
            name: cloudflare-api-token-secret # 引用当前文档中创建的Secret名称
            key: api-token
EOF

配置Ingress TLS

可以通过手动创建或基于注解自动创建Certificate资源，cert-manager会自动管理签发证书并保存至指定的Secret对象中，并自动管理续期。

手动创建Certificate资源

首选，创建一个Certificate对象，这会触发spec.issuerRef字段指定的Issuer或ClusterIssuer签发TLS证书，并保存至spec.secretName字段指定的Secret对象中。

cat <<EOF | kubectl apply -f - > /dev/null
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: cert-local-choral-io
  namespace: apps-choral
spec:
  dnsNames:
  - 'local.choral.io'
  - '*.local.choral.io'
  issuerRef:
    kind: ClusterIssuer
    name: cloudflare-acme-cluster-issuer
  secretName: cert-local-choral-io
EOF

证书签发成功后，配置Ingress使用指定的Secret实现TLS。

cat <<EOF | kubectl apply -f - > /dev/null
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: whoami
  namespace: apps-choral
  annotations:
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
spec:
  tls:
    - secretName: cert-local-choral-io
  rules:
    - host: whoami.local.choral.io
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: whoami
                port:
                  number: 80
EOF

配置Ingress注解自动创建Certificate资源

配置Ingress注解，使用cert-manager.io/issuer指定Issuer，或使用cert-manager.io/issuer指定ClusterIssuer，这会触发指定的Issuer或ClusterIssuer签发TLS证书，并保存至spec.tls[*].secretName字段指定的Secret对象中。

cat <<EOF | kubectl apply -f - > /dev/null
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: whoami
  namespace: apps-choral
  annotations:
    cert-manager.io/issuer: cloudflare-acme-issuer
    traefik.ingress.kubernetes.io/router.entrypoints: websecure
spec:
  tls:
    - hosts:
        - whoami.local.choral.io
      secretName: cert-local-choral-io
  rules:
    - host: whoami.local.choral.io
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: whoami
                port:
                  number: 80
EOF