Van egy három node-os mikrok8s cluster, pfSense tűzfallal, NAT-olással, Lan oldalán 3 privát ip-vel ( 192.168.1.201-203) . Wan oldalon publikus IP 1 db.
A pfsense a metallb loadballancer lebegő ip-jét "használja" . A terheléselosztásip-je : 192.168..1.220. ( type: LoadBalancer , loadBalancerIP: 192.168.1.220 ) .
Csak ez az egy ip natolt, (192.168.1.220) , ez látszik a clusterből.
A cert.manager-rel vannak a problémáim. A tanusítvány elkészítésekor létrehoz egy podot/service-t/ ingress-t. (cm-acme-http-solver -néven , pod, service , ingress ezzel a névvel).
A kubectl get challenge szerint a kérelem "pending" állapotban van, mert a cert-manager által létrejött, aztán majd törlödő ingress nem látja metallb-t, nem tud a loadballancer lebegő ip-röl, a 192.168.1.220-ról, neki csak node portja van, localhoston. (80).
Hogyan lehet a cert-managert "becsatornázni" a terheléselosztás ip-jébe.
Hozzászólások
Azt nem tudom, hogyan lehet becsatornázni, de workaround lehet hogy, a http helyett dns validációt csinálsz, az problémamentes ilyen szempontból:
https://cert-manager.io/docs/configuration/acme/dns01/cloudflare/
Na meg aztán elférne már a hup forumra egy kubernetes topic :)
ráadásul ezzel wildcard certet is lehet kérni
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Ennyi volt csak:
mikrok8s enable dns helyett:
mikrok8s enable dns:1.1.1.1
https://blog.claryel.hu