证书过期，是个让人很头疼的问题。需要定期的去renew证书，就会比较麻烦，而且很容易遗忘。当portal太多当时候，这个问题就会更加明显。这个问题本身并不是什么难题，写个定时任务就可以完成。如果我们代码部署在k8s上的话，也只用写个cronjob去刷新挂载的secret就可以了。今天要介绍的是采用Cert-manager来自动管理证书，我认为它很优雅，对代码没有侵入性，并且使用起来很简单方便。先看看他官网自己怎么说的。

cert-manager is a native Kubernetes certificate management controller. It can help with issuing certificates from a variety of sources, such as Let’s Encrypt, HashiCorp Vault, Venafi, a simple signing key pair, or self signed.

官方文档介绍的很详细。今天就主要介绍一下踩的一点点坑就行了。因为我们的项目是部署在gcp k8s cluster上的，所以下面的介绍也都以k8s部署为例。

安装

安装 CustomResourceDefinition

kubectl apply --validate=false-f https://github.com/jetstack/cert-manager/releases/download/v0.14.0/cert-manager.yaml

kubectl create namespace cert-manager

helm repo add jetstack https://charts.jetstack.io

helm repo update

helm3.x 执行 helm install cert-manager jetstack/cert-manager --namespace cert-manager --version v0.14.0

helm2.x 执行 helm install --name cert-manager --namespace cert-manager --version v0.14.0 jetstack/cert-manager 

到这里基本的安装就结束了。可以通过这个命令去查看一下。kubectl get pods --namespace cert-manager

使用

Ingress上的使用

Ingress使用比较简单，不过多介绍。为了让多个Ingress可以共用同一个Issuer，需要创建一个ClusterIssuer。温馨提示，测试环境请用letencrypt的staging环境，生产环境有配额限制。每IP每3个小时不超过10次，每个域名（包含子域名）每7天不超过5个。

接下来就按照教程里面说的配置就行了，secretName可以随便取名，cert-manager会自动帮你创建。

loadbalancer上的使用

我们项目有一个项目比较特殊，不需要用ingress，而是直接采用的loadbalancer的形式暴露服务。那么证书就需要手动去刷新。

首先创建一个issuer

然后创建一个certificate

certificate里面的secretName就是生成的证书所在了，可以把这个secret挂载到需要的地方，就可以使用了。

这里踩的一个坑就是，一开始我在供ingress使用的clusterissuer下面添加了dns解析器这种形式，但是失败了。由于我是采用clouddns的形式，需要letencrypt能够访问到我的dns下面，所以需要提供service account，所以就挂载了一个secret。由于service account secret需要能够被clusterissueer访问到，所以需要放在clusterissuer对应的namespace A下面。certificate创建的secret需要被namespace B使用，所以需要创建在namespace B中。走到这里就失败了，因为certificate在调用clusterissuer的申请证书的时候，提示访问不到service account。最后改用了Issuer。

今天写到这里突然想到，service account secret放在namespace B中，clusterissuer不知道能不能读到，如果能就完美了。晚点试试再来给答案。

自动证书刷新就做完了，针对具体的项目，怎么让secret每次更新触发程序重新读取secret的值就需要写一个cronjob了，比如nginx reload之类的。我这里是写了个cronjob，用python来定期读取证书