Давайте зашифруем Traefik с помощью Helm

Я пытаюсь установить Traefik в качестве контроллера входящего трафика для моего самостоятельно устанавливаемого кластера Kubernetes. Для удобства я пытаюсь установить штурвал Traefik, и это работает отлично без акме; теперь это мои переменные yml:

externalIP: xxx.xxx.xx.xxx
dashboard:
  enabled: true
  domain: traefik-ui.example.com
ssl:
  enabled: true
  enforced: true
acme:
  enabled: true
  challengeType: http-01
  email: [email protected]
  staging: true
  persistence.enabled: true
  logging: true

Установлено с:

helm install --name traefik --namespace kube-traefik --values traefik-variables.yml stable/traefik

Но с helm status traefik я вижу, что v1/PersistentVolumeClaim с именем traefik-acme остается на рассмотрении, а сертификат никогда не назначается.


kubernetes kubernetes-helm lets-encrypt traefik
person Joost Döbken    schedule 17.09.2018    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Настоятельно рекомендуется использовать cert-manager вместо встроенной поддержки ACME в Traefik, по крайней мере на данный момент. Гораздо лучше иметь дело с несколькими копиями Traefik, которые вам, вероятно, нужны. Ingress-shim (который является частью cert-manager по умолчанию) отлично справляется с Ingress, поддерживаемым Traefik.

person coderanger    schedule 17.09.2018
comment
Вы по-прежнему рекомендуете это в октябре 2018 года или же встроенная поддержка ACME достигла такой степени, что вы можете ее рекомендовать. - person Hedge; 30.10.2018
comment
Встроенная поддержка ACME сама по себе не является незрелой, проблема в том, что Traefik на K8s не имеет простого способа обмена данными ACME между несколькими экземплярами Traefik (что обычно требуется для HA). У Cert-manager такой проблемы нет. - person coderanger; 30.10.2018
comment
Для будущих читателей этого ответа, это было поднято командой разработчиков Traefik на их слабину, и они сказали: Мы (команда Traefik) рекомендуем противоположное. мы никогда не рекомендовали использовать cert-manager, поэтому читатель должен выбрать, к какой рекомендации прислушаться. - person Andrew Savinykh; 31.10.2018
comment
Опять же, это не вопрос мнения. Если 1) не запустить другой кластер etcd для использования в качестве хранилища K / V traefik или 2) не использовать бэкэнд ReadWriteMany PV, вы не сможете использовать встроенную поддержку ACME Traefik с более чем одной запущенной репликой. Если вас устраивает ограничение на одну реплику или выполнение одного из двух перечисленных требований, вы можете использовать внутреннюю поддержку. В противном случае используйте cert-manager. Или просто используйте cert-manager. - person coderanger; 01.11.2018
comment
@coderanger не могли бы вы включить какой-нибудь код конфигурации в качестве примера ?? - person Joost Döbken; 30.11.2018
comment
Никакой особой конфигурации не требуется. cert-manager поддерживает все контроллеры Ingress через подсистему ingress-shim. - person coderanger; 30.11.2018
comment
Есть ли какие-нибудь изменения в Traefik v2? (acme.json через общую файловую систему с поддержкой блокировки) - person MUHAHA; 25.09.2019