K8S cert-manager 创建 acme 挑战 pod 时出错

【问题标题】:K8S cert-manager error creating acme challenge podsK8S cert-manager 创建 acme 挑战 pod 时出错
【发布时间】:2021-05-26 05:09:42
【问题描述】:

过去 3 天我一直在尝试在具有 1 个主节点和 2 个节点的 OpenStack 环境中的 K8S 集群 (v1.19.8) 上设置 cert-manager。 它以前工作过(比如 1 个月前),但由于我重新创建了集群,因此无法创建 pod ACME 挑战:

Status:
  Presented:   false
  Processing:  true
  Reason:      pods "cm-acme-http-solver-" is forbidden: PodSecurityPolicy: unable to admit pod: []
  State:       pending
Events:
  Type     Reason        Age                    From          Message
  ----     ------        ----                   ----          -------
  Normal   Started       8m25s                  cert-manager  Challenge scheduled for processing
  Warning  PresentError  3m18s (x7 over 8m23s)  cert-manager  Error presenting challenge: pods "cm-acme-http-solver-" is forbidden: PodSecurityPolicy: unable to admit pod: []

我尝试了不同版本的 ingress-nginx、不同版本的 cert-manager、不同版本的 k8s,但无济于事。我快疯了……请帮忙。非常感谢:)

集群设置

kubectl create namespace ingress-nginx && \
helm install ingress-nginx ingress-nginx/ingress-nginx -n ingress-nginx && \
kubectl create namespace cert-manager && \
helm install cert-manager jetstack/cert-manager \
  --namespace cert-manager \
  --version v1.1.0 \
  --set installCRDs=true

发行人

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: email@example.com
    preferredChain: "ISRG Root X1"
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
      - http01:
          ingress:
            class: nginx

入口

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: main-ingress
  annotations:
    kubernetes.io/ingress.class: "nginx"
    nginx.ingress.kubernetes.io/from-to-www-redirect: "true"
    cert-manager.io/issuer: "letsencrypt-prod"
spec:
  tls:
  - hosts:
      - host.com
    secretName: the-secret-name
  rules:
  - host: host.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: api-nginx
            port: 
              number: 80

【问题讨论】:

  • LE:我还删除了preferredChain: "ISRG Root X1",因为这会破坏旧 Android 设备的 HTTPS,生成被视为无效的 SSL 证书

标签: kubernetes openstack nginx-ingress cert-manager


【解决方案1】:

经过一些调试和托管服务提供商的大力帮助,我们找到了问题和解决方案。

我们使用的是最新(来自主)版本的 Magnum/OpenStack,它获得了默认安装 PodSecurityPolicy 控制器的更新。这阻止了 cert-manager 创建 ACME pod。

在没有策略控制器的情况下重新创建集群解决了这个问题:

openstack coe cluster create \
  --cluster-template v1.kube1.20.4 \
  --labels \
admission_control_list="NodeRestriction,NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,TaintNodesByCondition,Priority,DefaultTolerationSeconds,DefaultStorageClass,StorageObjectInUseProtection,PersistentVolumeClaimResize,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,RuntimeClass" \
  --merge-labels
  ...

【讨论】:

  • 感谢您发布自己问题的解决方案。
【解决方案2】:

晚了一年,但添加另一个解决方案以防它帮助其他人找到这个。我遇到了同样的挑战 pod 被 PSP 阻止的问题,但我真的不想重新创建/重新配置我的集群,所以我最终通过将它添加到 helm chart values.yaml 来解决这个问题: https://github.com/cert-manager/cert-manager/blob/master/deploy/charts/cert-manager/values.yaml

  global:
    podSecurityPolicy:
      enabled: true 
      useAppArmor: false

就我而言,这是 Gitlab 部署的一部分,因此我将其添加到 certmanager 密钥下,如下所示:

certmanager:
  install: true
  global:
    podSecurityPolicy:
      enabled: true 
      useAppArmor: false

(搜索标签:gitlab helm chart certmanager PodSecurityPolicy “unable to admission pod”被屏蔽)

【讨论】:

    猜你喜欢
    • 2020-09-07
    • 1970-01-01
    • 1970-01-01
    • 2021-01-31
    • 2022-10-13
    • 1970-01-01
    • 2022-07-12
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode