Все, что нужно знать про Let's Encrypt, от localhost до Kubernetes

• Распространение стандарта TLS SNI
• Сертификаты Let's Encrypt и ACME вообще во внутренней сети
• Что такое протокол ACME? Automatic Certificate Management Environment
• Как выдавать бесплатные SSL сертификаты с помощью certbot, Nginx и Docker

• Расширение протокола TLS (Transport Layer Security) - SNI (Server Name Indication) и бесплатные сертификаты от Let's Encrypt, на основе DV (Domain Validation), открыли возможность сделать безопасными соединения во “всем интернете”, а протокол с мультяшной аббревиатурой ACME (Automated Certificate Management Environment), позволил автоматизировать процессы управления сертификатами
• Давайте на практически полезных примерах разберемся, как все это устроено

• Получить Let's Encrypt сертификат для сайта в “ручном” режиме используя DNS и HTTP/HTTPS/code/file-based Domain Validation
• Автоматизировать управление сертификатами с помощью ACME-клиента Certbot
• Автоматизировать управление сертификатами в Kubernetes с помощью оператора cert-manager

• Ютуб: https://youtu.be/74KpYfTNffM
• Рутуб: https://rutube.ru/video/61ae7d137f22c4180c186e32683f731f/
• Вк: https://vkvideo.ru/video-2190892_456239496
• Тэги: HAProxy, Apache, Nginx, Linux, Docker, Kubernetes, Minikube, Ingress, ACME, Certbot, cert-manager

• site*.mgtu.ru

# hostnamectl hostname vps

• Локализация временной зоны

• Технология Docker
• Установка minikube

• Letsencrypt Certbot

• Запрос и подтверждение сертификата "автоматически"

vps:~# systemctl disable apache2.service --now

...

vps:~# systemctl disable nginx.service --now

• Технология Docker
• Установка minikube

• Если есть время, можно:
• Использование в minikube своих docker образов
• Приложение golang gowebd
• или, использовать образ httpd и lifecycle postStart exec

• Deployment, Service
• "Внутри" minikube

• Minikube ingress-nginx-controller
• ingress example (с tls)

student@vps:~/webd-k8s$ curl -H "Host: siteN.mgtu.ru" http://192.168.49.2 -v

student@vps:~/webd-k8s$ curl -H "Host: siteN.mgtu.ru" https://192.168.49.2 -kv

• Сервис Keepalived (для 443, можно, для демонстрации, и 80)

#Add port 80 for demonstration how does a cert-manager work 
virtual_server 195.19.40.42 443 {
  lb_algo wlc
  lb_kind NAT
  protocol TCP
  real_server 192.168.49.2 443 {}
}

$ curl http://siteN.mgtu.ru -v

$ curl https://siteN.mgtu.ru -k

• Kubernetes cert-manager

student@vps:~$ kubectl -n my-ns get pods
...
cm-acme-http-solver-...
...

student@vps:~/webd-k8s$ kubectl -n my-ns get ingress -o yaml | grep acme-challenge

student@vps:~/webd-k8s$ curl http://siteN.mgtu.ru/.well-known/acme-challenge/NNNNNNNNNNNNNNNNNNNNN

student@vps:~/webd-k8s$ kubectl -n my-ns exec -ti pods/my-webd-<TAB> -- bash
  ИЛИ
student@vps:~/webd-k8s$ kubectl run -ti my-debian --image=debian -- bash

:/# apt update; apt install curl

:/# curl http://siteN.mgtu.ru/.well-known/acme-challenge/NNNNNNNNNNNNNNNNNNNNN     

• Убираем 80-й порт из Keepalive

• Использование Nginx (Прокси "красивого" URL в приложение (пример 3)) или Решение HAProxy

...
frontend ft-vps
    mode http
    bind *:80
    default_backend      bk-minikube-ingress
backend bk-minikube-ingress
    mode        http
    server  minikube 192.168.49.2:80 check

$ curl https://siteN.mgtu.ru -v