Início / server / Perguntas / 1157120
Accepted
Lasse Michael Mølgaard
Asked: 2024-03-30 04:17:52 +0800 CST

Kubernetes: Não é possível acessar recursos no namespace cert-manager do namespace padrão

  • 772

Estou tentando aprender como o Kubernetes funciona, então criei meu próprio K3Scluster usando o guia de início rápido .

Então instalei o Cert Manager usando o guia do Helm .

Quero usar certificados Let's Encrypt para meu cluster e validá-los usando o dns01webhook com meu provedor DNS Simply.com.

Isso pode ser feito usando um webhook encontrado aqui:

https://github.com/RunnerM/simply-dns-webhook

Atualmente estou testando se consigo um certificado do Let's Encrypt usando seu servidor de teste.

Criei o arquivo Yaml letsencrypt-staging.yamlcom o seguinte conteúdo para ClusterIssuer:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
  namespace: default
spec:
  acme:
    email: [email protected]
    privateKeySecretRef:
      name: letsencrypt-staging-key
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    solvers:
    - dns01:
        webhook:
          groupName: com.github.runnerm.cert-manager-simply-webhook
          solverName: simply-dns-solver
          config:
            secretName: simply-credentials # notice the name
      selector:
        dnsZones:
        - 'cluster.example.com'
        - '*.cluster.example.com'

Meu arquivo de configuração é basicamente um copiar e colar literalmente do exemplo encontrado na página RunnerM GitHub.

Para emitir um certificado criei um arquivo Yaml chamado certificate-test.yamlcom o seguinte conteúdo:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: test-certificate
spec:
  dnsNames:
  - test.cluster.example.com
  issuerRef:
    name: letsencrypt-staging
    kind: ClusterIssuer

  secretName: test-certificate-tls

Devo então conseguir obter um certificado emitido usando os seguintes comandos:

kubectl apply -f letsencrypt-staging.yaml
kubectl apply -f certificate-test.yaml

No entanto, não estou recebendo um certificado emitido.

Ao executar kubectl describe challenge test-certificate-1-1965387138-1295925723recebo a seguinte mensagem de erro:

...
Status:
  Presented:   false
  Processing:  true
  Reason:      secrets "simply-credentials" is forbidden: User "system:serviceaccount:default:my-simply-dns-webhook" cannot get resource "secrets" in API group "" in the namespace "cert-manager"
  State:       pending
E
...

Entendo que o webhook do Simply DNS my-simply-dns-webhookestá em execução no defaultnamespace e as credenciais do Simply DNS estão armazenadas no cert-managernamespace.

Então, como faço para permitir que o webhook do Simply DNS acesse recursos no namespace cert-manager?

Informações adicionais

A execução do comando kubectl get clusterrolebindingsfornece, entre outras, as seguintes informações:

my-simply-dns-webhook:secret-access                    ClusterRole/my-simply-dns-webhook:secret-access                    76s
simply-dns-webhook:challenge-management                ClusterRole/simply-dns-webhook:challenge-management                76s
my-simply-dns-webhook:domain-solver                    ClusterRole/my-simply-dns-webhook:domain-solver                    76s
my-simply-dns-webhook:flow-control                     ClusterRole/my-simply-dns-webhook:flow-control                     76s
my-simply-dns-webhook:auth-delegator                   ClusterRole/system:auth-delegator                                  76s

A saída de kubectl get clusterrole my-simply-dns-webhook:secret-accessfornece o seguinte resultado:

Name:         my-simply-dns-webhook:secret-access
Labels:       app=simply-dns-webhook
              app.kubernetes.io/managed-by=Helm
              chart=simply-dns-webhook-1.5.4
              heritage=Helm
              release=my-simply-dns-webhook
Annotations:  meta.helm.sh/release-name: my-simply-dns-webhook
              meta.helm.sh/release-namespace: default
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  secrets.*  []                 []              [get]

E o comando kubectl describe clusterrolebindings my-simply-dns-webhook:secret-accessdá a saída:

Name:         my-simply-dns-webhook:secret-access
Labels:       app=simply-dns-webhook
              app.kubernetes.io/managed-by=Helm
              chart=simply-dns-webhook-1.5.4
              heritage=Helm
              release=my-simply-dns-webhook
Annotations:  meta.helm.sh/release-name: my-simply-dns-webhook
              meta.helm.sh/release-namespace: default
Role:
  Kind:  ClusterRole
  Name:  my-simply-dns-webhook:secret-access
Subjects:
  Kind            Name                   Namespace
  ----            ----                   ---------
  ServiceAccount  my-simply-dns-webhook  cert-manager

Então, o que estou perdendo?

kubernetes

1 respostas

  1. Best Answer

    Acho que o gráfico do leme simplesmente dns-webhook está cheio de erros.

    Ele cria um ServiceAccount nomeado simply-dns-webhookno defaultnamespace (ou qualquer namespace que você passe para o argumento helm installde -n), mas simply-dns-webhook:secret-accessClusterRoleBinding especifica:

    roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: simply-dns-webhook:secret-access
subjects:
- kind: ServiceAccount
  name: simply-dns-webhook
  namespace: cert-manager

    Isso nunca vai combinar.

    Pode funcionar se você implantar tudo no cert-managernamespace:

    helm install -n cert-manager simply-dns-webhook simply-dns-webhook/simply-dns-webhook
    • 0

relate perguntas