Certificate expirate Kubernetes Cert-Manager

Am moștenit un mediu GKE Kubernetes și am încercat să-mi dau seama de zile întregi, dar, din păcate, nu știu ce să încerc în continuare.

Clusterul este configurat pentru a utiliza cert-manager (instalat prin helm) pentru a aplica certificate Let's Encrypt pe cluster. Din anumite motive, acest lucru a funcționat perfect de peste doi ani, dar începând cu 4/16 am început să văd avertismente SSL în browsere pentru toate notele de pe cluster.

Când alerg kubectl descrie certificatele site-cloud-tls certificatul pare să fi fost reînnoit, dar nu este aplicat traficului de intrare.

Nume: site-cloud-tls
Spațiu de nume: cs
Etichete: <niciuna>
Adnotări: <niciuna>
Versiunea API: certmanager.k8s.io/v1alpha1
Tip: Certificat
Metadate:
  Timp de creare: 2019-06-02T09:55:05Z
  Generația: 34
  Referințe proprietar:
    Versiunea API: extensions/v1beta1
    Blocare ștergere proprietar: adevărat
    Controller: adevărat
    Gen: Intrare
    Nume: cs-nginx
    UID: 7f312326-851c-11e9-8bf0-4201ac10000c
  Versiunea resursei: 541365011
  UID: 7f36cc40-851c-11e9-8bf0-4201ac10000c
Specific:
  Nume Dns:
    site.cloud (numele schimbat, dar este corect)
  Ref. emitent:
    Tip: ClusterIssuer
    Nume: letsencrypt-dns
  Nume secret: site-cloud-tls
Stare:
  Conditii:
    Ora ultimei tranziții: 2022-04-24T05:26:13Z
    Mesaj: Certificatul este actualizat și nu a expirat
    Motiv: Gata
    Stare: Adevărat
    Tip: Gata
  Nu după: 2022-06-15T17:01:48Z
Evenimente: <niciunul>

kubectl descrie intrarea
Nume: cs-nginx
Spațiu de nume: cs
Adresa: 192.168.1.32
Backend implicit: default-http-backend:80 (10.16.3.12:8080)
TLS:
  site-cloud-tls termină site.cloud (numirea schimbată, dar pare corectă)
Reguli:
  Backend-uri pentru calea gazdei
  ---- ---- --------
  site.cloud   
                             / site:8080 (10.10.10.10:8080)

Adnotări: certmanager.k8s.io/cluster-issuer: letsencrypt-dns
                             kubernetes.io/ingress.class: nginx
                             nginx.ingress.kubernetes.io/ssl-redirect: adevărat
                             nginx.org/websocket-services: datahub
Evenimente: <niciunul>

Avem un mediu de scenă care a fost și el afectat. Am încercat să reinstalez cert-manager, să reinstalez nginx-ingress, dar, din păcate, nu am reușit să pun lucrurile înapoi și să funcționeze (probabil din cauza unei erori de configurare pe care am făcut-o).

După 3 zile, nu știu ce drum este și nu cunosc Kubernetes suficient de bine pentru a știu ce să încerc în continuare. Orice îndrumare? Pot oferi informații suplimentare care ar putea ajuta?

Mulțumesc!

Problema aici este că vă referiți la a cluster-emitent fel în definiția dvs. de intrare:

Adnotări: certmanager.k8s.io/cluster-issuer: letsencrypt-dns

Dar obiectul pe care l-ați definit este a Certificat drăguț:

Nume: site-cloud-tls
Spațiu de nume: cs
Etichete: <niciuna>
Adnotări: <niciuna>
Versiunea API: certmanager.k8s.io/v1alpha1
Tip: Certificat

De aceea nu se aplică la Ingress. Ceea ce aveți nevoie este să creați un Emitentul resursă în Kubernetes pentru a gestiona certificatul. Aici puteți găsi un exemplu de bază CULME ClusterIssuer fișier manifest:

apiVersion: cert-manager.io/v1
fel: ClusterIssuer
metadate:
  nume: letsencrypt-staging
specificație:
  culme:
    # Trebuie să înlocuiți această adresă de e-mail cu adresa dvs.
    # Let's Encrypt va folosi acest lucru pentru a vă contacta în legătură cu expirarea
    # de certificate și probleme legate de contul dvs.
    e-mail: [email protected]
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      # Resursa secretă care va fi utilizată pentru a stoca cheia privată a contului.
      nume: exemplu-emitent-cheie-cont
    # Adăugați un singur solutor de provocări, HTTP01 folosind nginx
    rezolvatori:
    - http01:
        intrare:
          clasa: nginx