Ihr vertrauenswürdiger Webhosting-Partner seit 2008. Holen Sie sich jetzt VPS!
Unterstützung  +373 79 600002
German Flag Deutsch
Anmeldung Anmelden
Support  +373 79 600002
Anmelden Anmeldung
German Flag Deutsch
Testen Sie Ihre Fähigkeiten mit unseren Hosting-Diensten und erhalten Sie 15% Rabatt!

Code an der Kasse verwenden:

Skills
17.01.2025
Verwaltung

Cert-Manager

Bereitstellung von Cert-Manager auf AlexHost VPS für sicheres Kubernetes

Warum Cert-Manager auf AlexHost verwenden? Cert-Manager automatisiert die Verwaltung von TLS-Zertifikaten in Kubernetes und gewährleistet eine sichere, verschlüsselte Kommunikation. Der VPS von AlexHost mit NVMe-Speicher, Root-Zugang und DDoS-Schutz bietet eine leistungsstarke, sichere Plattform für Kubernetes-Cluster. Dieser Leitfaden behandelt die Funktionen, die Einrichtung und die Anwendungsfälle von Cert-Manager auf AlexHost.

Was ist Cert-Manager?

Cert-Manager ist ein Open-Source-Kubernetes-Add-on, das die Verwaltung und Erneuerung von TLS-Zertifikaten automatisiert. Es lässt sich nahtlos in Kubernetes integrieren, um Zertifikate für Anwendungen auszustellen, die innerhalb des Clusters ausgeführt werden. Cert-Manager kann Zertifikate aus einer Vielzahl von Quellen ausstellen, darunter Let’s Encrypt, HashiCorp Vault, Venafi und andere private Zertifizierungsstellen (CAs). Cert-Manager überwacht die Zertifikate kontinuierlich auf deren Ablauf und erneuert sie bei Bedarf automatisch, so dass Ihre Dienste ohne manuelle Eingriffe sicher bleiben

Hauptmerkmale von Cert-Manager

Cert-Manager bietet mehrere wichtige Funktionen, die es zu einem unschätzbaren Werkzeug für Kubernetes-Benutzer machen

  1. Automatische Ausstellung von Zertifikaten: Cert-Manager generiert automatisch TLS-Zertifikate basierend auf Kubernetes-Ressourcen wie
    Ingress
    oder
    Certificate
    . Dadurch wird sichergestellt, dass alle neuen oder aktualisierten Dienste in Ihrem Cluster mit gültigen Zertifikaten gesichert sind.
  2. Erneuerung von Zertifikaten: Cert-Manager überwacht den Ablauf von ausgestellten Zertifikaten und erneuert sie automatisch, bevor sie ablaufen. So wird sichergestellt, dass Ihre Anwendungen immer über gültige Zertifikate verfügen und Ausfallzeiten vermieden werden.
  3. Unterstützung für mehrere Zertifizierungsstellen: Cert-Manager unterstützt verschiedene Zertifizierungsstellen, einschließlich Let’s Encrypt für kostenlose, öffentliche SSL-Zertifikate, sowie interne oder private Zertifizierungsstellen, so dass Sie flexibel entscheiden können, wie Ihre Zertifikate ausgestellt werden.
  4. Kubernetes nativ: Cert-Manager lässt sich nativ in Kubernetes integrieren. Er nutzt die benutzerdefinierten Ressourcendefinitionen (CRDs) von Kubernetes zur Definition von Zertifikatsanforderungen und verwaltet Zertifikate als Kubernetes-Ressourcen.
  5. DNS-01- und HTTP-01-Herausforderungen: Cert-Manager unterstützt mehrere Arten von ACME-Challenges (wie DNS-01 und HTTP-01) zur Verifizierung des Domänenbesitzes bei der Verwendung von CAs wie Let’s Encrypt. Diese Methoden automatisieren den Verifizierungsprozess und machen die Ausstellung von Zertifikaten nahtlos.
  6. Wildcards und Multi-Domain-Zertifikate: Cert-Manager kann Wildcard-Zertifikate ausstellen, die für die Absicherung mehrerer Subdomains unter einem einzigen Zertifikat nützlich sind, und er kann auch Zertifikate für mehrere Domains verwalten, was die Verwaltung komplexer Anwendungen vereinfacht.

Wie Cert-Manager funktioniert

Cert-Manager interagiert mit Kubernetes-Ressourcen und externen Zertifizierungsstellen, um Zertifikate während ihres gesamten Lebenszyklus zu verwalten. Hier ist ein Überblick über den Prozess

  1. Zertifikatsanforderung: Cert-Manager verwendet eine Kubernetes-Ressource namens Zertifikat oder eine Ingress-Ressource, um ein Zertifikat anzufordern. Diese Ressourcen enthalten Details wie die Domänennamen, die das Zertifikat abdecken soll, die Laufzeit des Zertifikats und den Aussteller.
  2. Ausstellen des Zertifikats: Cert-Manager interagiert mit einer konfigurierten Issuer- oder ClusterIssuer-Ressource, um ein Zertifikat von einer CA anzufordern. Der Aussteller kann Let’s Encrypt, eine private CA oder ein anderer unterstützter Zertifikatsanbieter sein.
  3. Validierung (ACME-Herausforderungen): Wenn Sie eine ACME CA wie Let’s Encrypt verwenden, löst Cert-Manager eine Herausforderung, um die Domäneneigentümerschaft zu beweisen. Dabei kann es sich um eine HTTP-01-Herausforderung (durch Bereitstellung eines Tokens über HTTP) oder eine DNS-01-Herausforderung (durch Erstellung eines DNS-TXT-Eintrags) handeln. Nach der Validierung stellt die CA das Zertifikat aus.
  4. Speichern des Zertifikats: Das ausgestellte Zertifikat wird in einem Kubernetes Secret gespeichert, auf das andere Kubernetes-Ressourcen (wie Ingress) verweisen können, um TLS für Ihre Anwendungen zu aktivieren.
  5. Überwachung und Erneuerung: Cert-Manager überwacht die Zertifikate kontinuierlich und erneuert sie automatisch, bevor sie ablaufen, damit Ihre Dienste ohne Ausfallzeiten sicher bleiben.

Bestandteile von Cert-Manager

Cert-Manager besteht aus mehreren Kernkomponenten, die zusammenarbeiten, um das Zertifikatsmanagement innerhalb von Kubernetes zu verwalten

  • Issuer/ClusterIssuer: Diese Ressourcen definieren, wie und wo Cert-Manager Zertifikate anfordern soll. Ein Issuer ist Namespace-bezogen, während ein ClusterIssuer Cluster-übergreifend ist. Sie bieten Konfigurationsdetails für die Interaktion mit der gewünschten CA.
  • Zertifikat: Eine Zertifikatsressource definiert das spezifische TLS-Zertifikat, das Cert-Manager anfordern soll. Sie enthält Details wie den/die Domänennamen, die Dauer und den zugehörigen Aussteller.
  • ZertifikatAnfrage: Cert-Manager verwendet eine CertificateRequest-Ressource, um eine spezifische Anfrage für ein Zertifikat zu verfolgen. Diese Ressource wird automatisch von Cert-Manager erstellt, wenn ein neues Zertifikat angefordert wird.
  • Secret: Nachdem Cert-Manager das Zertifikat von der CA erhalten hat, speichert es das Zertifikat und den privaten Schlüssel in einem Kubernetes Secret. Dieses Secret kann dann von Anwendungen oder Ingress-Ressourcen referenziert werden, um TLS zu aktivieren.

Häufige Anwendungsfälle für Cert-Manager

Cert-Manager wird häufig in Kubernetes-Umgebungen eingesetzt, um die Zertifikatsverwaltung zu vereinfachen und zu automatisieren. Hier sind einige häufige Anwendungsfälle

1. Absicherung von Webanwendungen mit HTTPS

Einer der beliebtesten Anwendungsfälle für Cert-Manager ist die Sicherung von Webanwendungen mit HTTPS durch die Verwendung von Let’s Encrypt zur Ausstellung von SSL-Zertifikaten. Cert-Manager kann automatisch Zertifikate für Kubernetes-Ingress-Ressourcen ausstellen und erneuern und so sicherstellen, dass der Webverkehr verschlüsselt und sicher ist

2. Automatisieren der Zertifikatserneuerung

Die manuelle Verwaltung von Zertifikatserneuerungen kann zeitaufwändig und anfällig für menschliche Fehler sein. Cert-Manager automatisiert diesen Prozess, indem er die Ablaufdaten von Zertifikaten überwacht und sie erneuert, bevor sie ablaufen. So wird sichergestellt, dass Ihre Dienste nicht unter Ausfallzeiten aufgrund abgelaufener Zertifikate leiden

3. Verwaltung von internen Zertifikaten

Zusätzlich zu öffentlichen Zertifikaten kann Cert-Manager auch Zertifikate verwalten, die von privaten Zertifizierungsstellen für interne Anwendungen ausgestellt wurden. In einer Microservices-Architektur, in der Dienste intern über ein sicheres Netzwerk kommunizieren, kann Cert-Manager beispielsweise Zertifikate für die interne Kommunikation von Dienst zu Dienst ausstellen und rotieren

4. Wildcard-Zertifikate

Für Anwendungen, die mehrere Subdomains verwenden (z.B. app.example.com, api.example.com), kann Cert-Manager ein einziges Wildcard-Zertifikat (z.B. *.example.com) ausstellen, um alle Subdomains auf einmal zu sichern, was die Zertifikatsverwaltung vereinfacht

Installieren und Konfigurieren von Cert-Manager

Die Installation von Cert-Manager in Ihrem Kubernetes-Cluster ist ganz einfach. Im Folgenden werden die allgemeinen Schritte zur Installation und Konfiguration von Cert-Manager beschrieben

Schritt 1: Cert-Manager installieren

Sie können Cert-Manager mit Helm oder über statische YAML-Manifeste installieren. Hier ist die Helm-Installationsmethode

kubectl apply --validate=false -f https://github.com/cert-manager/cert-manager/releases/download/vX.Y.Z/cert-manager.crds.yaml
helm repo add jetstack https://charts.jetstack.io
helm repo update
helm install cert-manager jetstack/cert-manager --namespace cert-manager --create-namespace --version vX.Y.Z
Ersetzen Sie vX.Y.Z durch die neueste Version von Cert-Manager

Schritt 2: Konfigurieren Sie einen Issuer oder ClusterIssuer

Um Zertifikate auszustellen, müssen Sie einen Issuer oder ClusterIssuer konfigurieren. Um z.B. einen Issuer für Let’s Encrypt zu konfigurieren, können Sie eine YAML-Konfiguration wie diese erstellen

apiVersion:cert-manager.io/v1
kind: ClusterIssuer
metadata:name: letsencrypt-prod
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: your-email@example.com
privateKeySecretRef:
name: letsencrypt-prod
solvers:
- http01:
ingress:
class: nginx

Schritt 3: Beantragen Sie ein Zertifikat

Nachdem Sie Ihren Issuer konfiguriert haben, können Sie eine Zertifikatsressource erstellen, um ein TLS-Zertifikat für Ihre Anwendung anzufordern

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: example-tls
namespace: default
spec:
secretName: example-tls-secret
issuerRef:
name: letsencrypt-prod
kind: ClusterIssuer
commonName: example.com
dnsNames:
- example.com
- www.example.com

Schlussfolgerung: Sichern Sie Ihren Kubernetes Cluster nahtlos mit Cert-Manager auf AlexHost VPS

Cert-Manager automatisiert die Verwaltung von TLS-Zertifikaten und sorgt für sichere Kubernetes-Anwendungen mit minimalem Aufwand. Setzen Sie ihn auf dem VPS von AlexHost ein, um eine schnelle Zertifikatsausstellung zu erhalten, die von NVMe unterstützt wird und Root-Zugriff bietet.

Testen Sie Ihre Fähigkeiten mit unseren Hosting-Diensten und erhalten Sie 15% Rabatt!

Code an der Kasse verwenden:

Skills