Установка NGINX Ingress Controller с менеджером для сертификатов Let's Encrypt^®

Чтобы с помощью Kubernetes создать NGINX Ingress Controller и защитить его сертификатом Let's Encrypt^®, выполните следующие действия.

Перед началом работы

1. Установите Kubernetes CLI kubectl.

2. Настройте конфигурацию kubectl.

3. Установите менеджер пакетов Kubernetes Нelm 3.

4. Добавьте в Helm репозиторий для NGINX:

   CLI

   Выполните команду:

   helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
   

   Результат выполнения команды:

   "nginx-stable" has been added to your repositories
   

5. Обновите набор данных для создания экземпляра приложения в кластере Kubernetes:

   CLI

   Выполните команду:

   helm repo update
   

   Результат выполнения команды:

   Hang tight while we grab the latest from your chart repositories...
   ...Successfully got an update from the "ingress-nginx" chart repository
   Update Complete. ⎈Happy Helming!⎈
   

Установите NGINX Ingress Controller

Установите контроллер в стандартной конфигурации:

helm install ingress-nginx ingress-nginx/ingress-nginx

 NAME: ingress-nginx
 LAST DEPLOYED: Sun Jul 18 22:35:37 2021
 NAMESPACE: default
 STATUS: deployed
 REVISION: 1
 TEST SUITE: None
 NOTES:
 The ingress-nginx controller has been installed.
 It may take a few minutes for the LoadBalancer IP to be available.
 You can watch the status by running 'kubectl --namespace default get services -o wide -w ingress-nginx-controller'
 
 An example Ingress that makes use of the controller:
 
   apiVersion: networking.k8s.io/v1beta1
   kind: Ingress
   metadata:
     annotations:
       kubernetes.io/ingress.class: nginx
     name: example
     namespace: foo
   spec:
     rules:
       - host: www.example.com
         http:
           paths:
             - backend:
                 serviceName: exampleService
                 servicePort: 80
               path: /
     # This section is only required if TLS is to be enabled for the Ingress
     tls:
         - hosts:
             - www.example.com
           secretName: example-tls
 
 If TLS is enabled for the Ingress, a Secret containing the certificate and key must also be provided:
 
   apiVersion: v1
   kind: Secret
   metadata:
     name: example-tls
     namespace: foo
   data:
     tls.crt: <base64 encoded cert>
     tls.key: <base64 encoded key>
   type: kubernetes.io/tls

Созданный контроллер будет установлен за Yandex Network Load Balancer.

Чтобы настроить конфигурацию контроллера самостоятельно, обратитесь к документации Helm и отредактируйте файл values.yaml.

Установите менеджер сертификатов

1. Установите менеджер сертификатов версии 1.0.4, настроенный для выпуска сертификатов от Let's Encrypt^® (проверьте наличие более новой версии на странице проекта):

   CLI

   Выполните команду:

   kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.yaml
   

   Результат выполнения команды:

   customresourcedefinition.apiextensions.k8s.io/certificaterequests.cert-manager.io created
   ...
   validatingwebhookconfiguration.admissionregistration.k8s.io/cert-manager-webhook created
   

2. Убедитесь, что в пространстве имен cert-manager появится три пода, все они имеют готовность 1/1 и статус Running:

   CLI

   Выполните команду:

   kubectl get pods -n cert-manager
   

   Результат выполнения команды:

   NAME                                       READY   STATUS    RESTARTS   AGE
   cert-manager-69cf79df7f-ghw6s              1/1     Running   0          54s
   cert-manager-cainjector-7648dc6696-gnrzz   1/1     Running   0          55s
   cert-manager-webhook-7746f64877-wz9bh      1/1     Running   0          54s
   

3. Чтобы протестировать работу менеджера сертификатов, необходимо создать Ingress, Service и Deployment.
   Cохраните следующую спецификацию для создания приложения в YAML-файл с именем app.yaml:

   apiVersion: extensions/v1beta1
   kind: Ingress
   metadata:
     name: www-ingress
     annotations:
       kubernetes.io/ingress.class: "nginx"
       cert-manager.io/cluster-issuer: "letsencrypt"
   spec:
     tls:
       - hosts:
         - <ваш домен>
         secretName: <имя домена>
     rules:
       - host: <ваш домен>
         http:
           paths:
           - backend:
               serviceName: app
               servicePort: 80
             path: /
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: app
   spec:
     selector:
       app: app
     ports:
       - protocol: TCP
         port: 80
         targetPort: 80
   
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: app-deployment
     labels:
       app: app
   spec:
     replicas: 3
     selector:
       matchLabels:
         app: app
     template:
       metadata:
         labels:
           app: app
       spec:
         containers:
         - name: app
           image: gcr.io/google-samples/frontend:v0.1.2
           ports:
           - containerPort: 80
   

   • <ваш домен> — URL адрес вашего домена.
   • <имя домена> — название вашего домена.

4. Создайте приложение в kubernetes:

   CLI

   Выполните команду:

   kubectl apply -f app.yaml
   

Настройте DNS-запись для ingress-контроллера

1. Узнайте IP-адрес контроллера:

   CLI

   Выполните команду:

   kubectl get svc
   

   Результат выполнения команды:

   NAME                          TYPE           CLUSTER-IP      EXTERNAL-IP      PORT(S)                      AGE
   ...
   nginx-ingress-nginx-ingress    LoadBalancer   10.96.164.252   84.201.153.122   80:31248/TCP,443:31151/TCP   2m19s
   ...
   

2. Разместите у своего DNS-провайдера или на собственном DNS-сервере A-запись:

   <ваш домен> IN A 84.201.153.122
   

Проверьте работу

Проверьте работоспособность TLS:

curl https://<ваш домен>