擦除码计算器 
参考硬件 租户的 cert-manager
以下过程创建并应用使用 cert-manager 管理租户内 TLS 证书所需的资源。
注意
这些过程使用 tenant-1 作为租户的名称。
在整个过程中替换字符串 tenant-1 以反映您的租户名称。
先决条件
已安装 kustomize
对您的
k8s集群具有kubectl访问权限已完成 设置 cert-manager 的步骤
已安装 MinIO 运算符并 为 cert-manager 设置。
1) 创建租户命名空间 CA 发行者
在部署新租户之前,请为租户的命名空间创建证书颁发机构和发行者。
如有必要,请创建租户的命名空间。
kubectl create ns tenant-1
这必须与租户 YAML 中的
metadata.namespace字段的值匹配。使用设置为
true的spec.isCA请求新证书颁发机构的证书。创建一个名为
tenant-1-ca-certificate.yaml的文件,内容如下# tenant-1-ca-certificate.yaml apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: tenant-1-ca-certificate namespace: tenant-1 spec: isCA: true commonName: tenant-1-ca secretName: tenant-1-ca-tls duration: 70128h # 8y privateKey: algorithm: ECDSA size: 256 issuerRef: name: selfsigned-root kind: ClusterIssuer group: cert-manager.io
重要
spec.issueRef.name必须与 设置 cert-manager 时创建的ClusterIssuer的名称匹配。如果您指定了不同的ClusterIssuer名称或正在使用指南中不同的Issuer,请修改issuerRef以匹配您的环境。应用资源
kubectl apply -f tenant-1-ca-certificate.yaml
2) 创建 Issuer
Issuer 在租户命名空间内颁发证书。
为
Issuer生成资源定义。创建一个名为
tenant-1-ca-issuer.yaml的文件,内容如下:# tenant-1-ca-issuer.yaml apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: tenant-1-ca-issuer namespace: tenant-1 spec: ca: secretName: tenant-1-ca-tls
应用
Issuer资源定义kubectl apply -f tenant-1-ca-issuer.yaml
3) 为租户创建证书
请求 cert-manager 为 MinIO 颁发新的 TLS 服务器证书。证书必须对以下 DNS 域名有效
minio.<namespace>minio.<namespace>.svcminio.<namespace>.svc.<cluster domain>*.<tenant-name>-hl.<namespace>.svc.<cluster domain>*.<namespace>.svc.<cluster domain>*.<tenant-name>.minio.<namespace>.svc.<cluster domain>'
重要
将占位符文本(用 < 和 > 字符标记)替换为您租户的值
<cluster domain>是在您的 Kubernetes 集群中分配的内部根 DNS 域名。通常情况下,它是cluster.local,但请检查您的 CoreDNS 配置以确认 Kubernetes 集群的正确值。例如
kubectl get configmap coredns -n kube-system -o jsonpath="{.data}"
不同的 Kubernetes 提供商以不同的方式管理根域名。请咨询您的 Kubernetes 提供商以获取更多信息。
tenant-name是在租户 YAML 的metadata.name中为您租户提供的名称。在本例中为myminio。namespace是之前创建的用于安装租户的值。在租户 YAML 中,它在metadata.namespace字段中定义。在本例中为tenant-1。
为指定的域名请求
Certificate创建一个名为
tenant-1-minio-certificate.yaml的文件。文件内容应类似于以下内容,修改为反映您的集群和租户配置# tenant-1-minio-certificate.yaml apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: tenant-certmanager-cert namespace: tenant-1 spec: dnsNames: - "minio.tenant-1" - "minio.tenant-1.svc" - 'minio.tenant-1.svc.cluster.local' - '*.minio.tenant-1.svc.cluster.local' - '*.myminio-hl.tenant-1.svc.cluster.local' - '*.myminio.minio.tenant-1.svc.cluster.local' secretName: myminio-tls issuerRef: name: tenant-1-ca-issuer
提示
在本例中,租户名称为
myminio。我们建议将spec.secretName字段中的密钥命名为<tenant-name>-tls作为命名约定。应用证书资源
kubectl apply -f tenant-1-minio-certificate.yaml
验证更改是否生效
kubectl describe secret/myminio-tls -n tenant-1
注意
将
tenant-1替换为您租户的命名空间。将
myminio-tls替换为您密钥的名称(如果不同)。
4) 使用 cert-manager 部署租户以进行 TLS 证书管理
部署租户时,必须设置 TLS 配置,使其
租户不会自动生成自己的证书 (
spec.requestAutoCert: false) *并且*租户具有有效的 cert-manager 引用 (
spec.externalCertSecret)
这会指示 Operator 专门使用 cert-manager 证书部署租户。
以下 YAML spec 提供了一个满足这些要求的基本配置
apiVersion: minio.min.io/v2
kind: Tenant
metadata:
name: myminio
namespace: tenant-1
spec:
...
## Disable default tls certificates.
requestAutoCert: false
## Use certificates generated by cert-manager.
externalCertSecret:
- name: myminio-tls
type: cert-manager.io/v1
...
5) 在 MinIO Operator 中信任租户的 CA
默认情况下,MinIO Operator 不信任租户的 CA。要信任租户的 CA,您必须将证书作为密钥传递给 Operator。
为此,请在 minio-operator 命名空间中创建一个以 operator-ca-tls- 为前缀,后跟唯一标识符的密钥。
MinIO Operator 挂载并信任由提供的证书颁发机构颁发的**所有**证书。这是必需的,因为 MinIO Operator 使用 /minio/health/cluster 端点执行健康检查。
创建 operator-ca-tls-tenant-1 密钥
将租户的 cert-manager 生成的 CA 公钥 (ca.crt) 复制到 minio-operator 命名空间。这允许 Operator 信任 cert-manager 颁发的 CA 及其派生的所有证书。
创建一个包含 CA 的
ca.crt文件kubectl get secrets -n tenant-1 tenant-1-ca-tls -o=jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt
创建密钥
kubectl create secret generic operator-ca-tls-tenant-1 --from-file=ca.crt -n minio-operator
提示
在本例中,我们选择了 operator-ca-tls-tenant-1 作为密钥名称。我们使用租户命名空间 tenant-1 作为后缀,以便轻松识别 CA 来自哪个命名空间。使用您的租户命名空间的名称,以便更轻松地将密钥链接到相关的资源。
6) 部署租户
在租户的命名空间中设置了证书颁发机构和 Issuer 后,您现在可以 部署对象存储租户。
使用修改后的基本租户 YAML 禁用 AutoCert 并引用您生成的密钥。
