GKEにCert-Managerを導入、DNS-01認証(Cloud DNS)で証明書を発行し、Ingressで利用する。

2020/06/01/

本記事では、GKEへのCert-Managerの導入、Cloud DNSでのDNS-01チャレンジ認証と、発行した証明書をIngressで利用するまでをまとめます。

お高いCloud Load Balancingを使わないように、Nginx社のNginx Ingress Controllerを導入していたため、Cert-Managerを利用した証明書発行が必要となりましが、Cloud Load Balancingを利用してIngressリソースを作成する場合は、Google マネージド SSL 証明書を利用するのが良いでしょう。

Contents

1. Cert-Managerの導入
2. DNS-01チャレンジのための設定
3. 証明書の発行
4. Ingressから証明書を利用する
5. まとめ

Cert-Managerの導入

公式ドキュメントを参考にGKEにCert-Managerをインストールしていきます。
マニュフェストを利用したインストール手順で実施します。

(1) GKEを利用している場合は、利用中のサービスアカウントにcluster-adminロールを付与します。

  kubectl create clusterrolebinding cluster-admin-binding \
    --clusterrole=cluster-admin \
    --user=$(gcloud config get-value core/account)

上記手順を実行しない場合に、インストール時にエラーが発生する可能性があります。

(2) cert-managerのマニュフェストを適用します。

kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v0.15.0/cert-manager-legacy.yaml

kubernetes バージョンが1.15未満のため、cert-manager-legacy.yamlを利用します。kubernetesバージョンが1.15以上の場合は cert-manager.yamlを利用してください。

(3) cert-managerが導入されたことを確認します。

kubectl get pods --namespace cert-manager

cert-manager, cert-manager-cainjector, cert-manager-webhookがRunningステータスであることを確認します。

DNS-01チャレンジのための設定

(1) DNS-01チャレンジでアクセスするためのサービスアカウントを作成します。

gcloud iam service-accounts create dns01-solver

(2) 作成したサービスアカウントにdns管理者ロールを付与します。

gcloud projects add-iam-policy-binding $PROJECT_ID \
   --member serviceAccount:dns01-solver@$PROJECT_ID.iam.gserviceaccount.com \
   --role roles/dns.admin

(3) サービスアカウントの認証鍵を作成します。

export PROJECT_ID=your_project_id

gcloud iam service-accounts keys create key.json \
   --iam-account dns01-solver@$PROJECT_ID.iam.gserviceaccount.com

(4) 作成した認証鍵からsecretsを作成します。

kubectl create secret generic clouddns-dns01-solver-svc-acct \
   --from-file=key.json

証明書の発行

(1) Issuerリソースを作成します。

Issuerの場合、証明書を適用するIngressと同じnamespaceである必要があります。namespaceをまたいで発行したい場合はClusterIssuerを利用します。

以下をファイルを作成し、kubectlコマンドでapplyします。

apiVersion: cert-manager.io/v1alpha2
kind: Issuer
metadata:
  name: letsencrypt-production
  namespace: default
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: user@example.com

    # Name of a secret used to store the ACME account private key
    privateKeySecretRef:
      name: letsencrypt-production

    # ACME DNS-01 provider configurations
    solvers:
    # An empty 'selector' means that this solver matches all domains
    - selector: {}
      dns01:
        clouddns:
          # The ID of the GCP project
          # reference: https://docs.cert-manager.io/en/latest/tasks/issuers/setup-acme/dns01/google.html
          project: $PROJECT_ID
          # This is the secret used to access the service account
          serviceAccountSecretRef:
            name: clouddns-dns01-solver-svc-acct
            key: key.json

(2) Issuerが正常に作成されたことを確認します。

kubectl describe issuers letsencrypt-production

以下のようにStatusがTrueで、TypeがReadyになっていればOKです。

  Conditions:
    Last Transition Time:  2020-05-26T14:30:38Z
    Message:               The ACME account was registered with the ACME server
    Reason:                ACMEAccountRegistered
    Status:                True
    Type:                  Ready

(3) 証明書を発行します。

以下のファイルを作成し、kubectlコマンドでapplyします。

apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: example-com
  namespace: default
spec:
  secretName: example-com-tls
  issuerRef:
    # The issuer created previously
    name: example-issuer
  dnsNames:
  - example.com
  - www.example.com

上記を作成することで、自動的にDNS-01チャレンジが行われます。証明書を発行するドメインのCloud DNS上で、_acme-challengeのTXTレコードが作成されます。TXTレコードのデータには認証用のトークンが設定されます。

(4) 証明書が発行されたことを確認します。

kubectl describe certificate example-com

以下のように、Certificate issued successfullyと表示されていれば正常に作成されています。発行が完了するまで少し時間がかかります。

Events:
  Type    Reason      Age   From          Message
  ----    ------      ----  ----          -------
  Normal  CertIssued  4s    cert-manager  Certificate issued successfully

Ingressから証明書を利用する

(1) 以下のようにIngressリソースを作成します。前述の手順で用意した証明書(secrets)を定義します。

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:
  - hosts:
    - www.example.com
    secretName: example-com-tls
  rules:
  - host: www.example.com
    http:
      paths:
      - backend:
          serviceName: nginx
          servicePort: 80

まとめ

以上で、Cert-Managerの導入から証明書の取得およびIngressでの利用までできました。Kubernetes上のリソースを作成するだけで証明書が発行できるので非常に便利ですね。

GKE, KubernetesGKE, Google Kubernetes Engine, Kubernetes