cert-manager
-
Cert-manager 인증서 체인 만들기K8S 2023. 1. 10. 20:26
이번 포스팅은 cert-manager를 이용해서 인증서 체인을 만든다. 즉, 발급 받은 인증서를 CA로 사용하여 새로운 인증서를 생성할 때 이 CA 인증서로 sign한다. 1. self-signed로 root CA를 하나 만든다. apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: root-selfsigned spec: selfSigned: {} 2. 위에서 생성한 root CA를 이용해서 인증서를 만든다. apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: new-ca-cert namespace: cert-manager spec: secretName: new-ca-cert..
-
Kube-API 서버는 Cert-manager가 만든 인증서를 어떻게 이해할까?K8S 2022. 12. 22. 20:49
kube api server와 webhook 서버는 TLS 통신을 한다. 그리고 오퍼레이터를 만들다 보면 webhook 서버에 대한 인증서는 cert-manager를 통해서 만들기 때문에 api server와 webhook server가 들고 있는 인증서의 root CA는 달라진다. 이때 API 서버에서 webhook 서버에게 요청을 보내기 위해서는 TLS로 통신하긴 하지만 서로의 root CA는 모르기 때문에 insecure 하게 통신해야 하지 않을까? 이러한 문제는 cert-manager의 CA injector를 통해서 해결할 수 있다. 일단 cainjector는 Mutating Webhooks, Validating Webhooks, Conversion Webhooks, API Services에 대한..
-
Cert-manager와 Traefik IngressRoute을 이용한 nginx https 배포K8S 2022. 10. 25. 22:49
틀린 내용이 있을 수도 있습니다! 틀린 내용이 있다면 댓글로 달아주시면 감사하겠습니다! 개요 IngressRoute를 이용해서 nginx를 배포한다. cert-manager를 통해 인증서를 발급하고 https를 사용한다. 구성 1. loadbalancer를 사용할 수 없는 환경인 경우, traefik service를 nodeport로 배포해서 ingressroute를 사용한다. 2. lb를 사용할 수 있다면, traefik service를 loadbalancer로 만들어 ingressroute를 사용한다. 1. NodePort를 사용하는 경우 1) helm을 이용해서 traefik chart를 설치한다. helm repo add traefik https://helm.traefik.io/traefik he..