[Auto TLS sur k8s] ClusterIssuer cert-manager pour OVH

DimitriL10 2020-07-28 08:25:37 UTC #1

Bonjour,

Je possède un Managed k8s cluster chez OVH, avec Istio et Knative Serving. J'ai réussi à obtenir un certificat TLS pour me connecter via HTTPS à la main via buzut.net/certbot-challenge-dns-ovh-wildcard/ avec DNS-01. Voici les étapes :

étape 1 : récupéré dns_ovh_endpoint, dns_ovh_application_key, dns_ovh_application_secret et dns_ovh_consumer_key sur https://api.ovh.com/createToken/ dans un fichier ~/.ovhapi

étape 2 : sudo certbot certonly --dns-ovh --dns-ovh-credentials ~/.ovhapi -d "*.default.mydomain.fr

étape 3 : kubectl create --namespace istio-system secret tls istio-ingressgateway-certs \
--key /etc/letsencrypt/live/default.mydomain.fr/privkey.pem \
--cert /etc/letsencrypt/live/default.mydomain.fr/fullchain.pem

étape 4 : kubectl edit gateway knative-ingress-gateway --namespace knative-serving
- hosts:
- '*'
port:
name: https
number: 443
protocol: HTTPS
tls:
mode: SIMPLE
privateKey: /etc/istio/ingressgateway-certs/tls.key
serverCertificate: /etc/istio/ingressgateway-certs/tls.crt

Cependant je n'arrive pas à mettre en place la génération automatique des certificats via cert-manager ClusterIssuer toujours avec DNS-01, en suivant https://knative.dev/docs/serving/using-auto-tls/.
La première étape de ce tuto est de créer un ClusterIssuer, voici un exemple pour Google Cloud, cependant je n'arrive pas à l'adapter pour OVH :

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-dns-issuer
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    # This will register an issuer with LetsEncrypt.  Replace
    # with your admin email address.
    email: myemail@gmail.com
    privateKeySecretRef:
      # Set privateKeySecretRef to any unused secret name.
      name: letsencrypt-dns-issuer
    solvers:
    - dns01:
        clouddns:
          # Set this to your GCP project-id
          project: $PROJECT_ID
          # Set this to the secret that we publish our service account key
          # in the previous step.
          serviceAccountSecretRef:
            name: cloud-dns-key
            key: key.json

Merci pour votre aide !
Dimitri

MatthieuL29 2020-10-16 09:20:42 UTC #2

Bonjour,
Je me permet de répondre pour partager ma petite solution.
Ce n'est peut-être, voir surement pas la meilleur mais elle fonctionne ;)
Je suis arrivé au même cas que toi Dimiti et voilà ce que j'ai fait :
pour le dns je me suis inscrit sur CloudFlare et remplacé les serveur DNS de mon nom de domaine par les leurs.
Ensuite j'ai créé un secret contenant ma clé API

apiVersion: v1
  kind: Secret
    metadata:
      name: cloudflare-api-token-secret
    type: Opaque
    stringData:
      api-token: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Que je récupére ensuite dans mon Issuer

dns01:
    cloudflare:
      email: address_mail@fai.com
      apiKeySecretRef:
        name: cloudflare-apikey-token-secret
        key: api-token

Voilà en espérant que cela puisse aider

Sopra_SteriaT 2021-01-11 15:36:04 UTC #3

Les équipes OVH ?
pas d'idee ou de solution de votre coté ?

SebastienJ18 2021-01-11 16:30:10 UTC #4

Bonjour,

La réponse de @MatthieuL29 ne te satisfait pas ?

Pour ce qui est de la validation DNS01, le plugin officiel cert-manager n'est pas encore sorti, du coup tu peux tenter en methode HTTP01 de cert-manager, celle-ci fonctionne, réf : https://www.youtube.com/watch?v=srwdd-ombBc

Sébastien

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.