Estou tendo problemas com minha implementação do rapberry pi kubernetes
Problema:
Tenho o desafio Letsencrypt ACME do cert-manager aguardando devido a um código de erro 401 na instalação bare metal do Kubernetes.
Configurar
Plataforma: Raspberry Pi 4
SO: Ubuntu Server 20.04.3 LTS 64 bits
Entrada: Nginx
Balanceador de carga: Metallb
Rede: Calico
Instalei o metallb e o nginx via helm usando:
helm install metallb metallb/metallb --namespace kube-system\
--set configInline.address-pools[0].name=default\
--set configInline.address-pools[0].protocol=layer2\
--set configInline.address-pools[0].addresses[0]=<ip-range>
e
helm install ingress-nginx ingress-nginx/ingress-nginx --namespace kube-system
Meu letsencrypt fica assim:
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-prod
namespace: cert-manager
spec:
acme:
email: <email redacted>
server: https://acme-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: letsencrypt-prod
solvers:
- http01:
ingress:
class: nginx
Minha configuração de entrada do nginx é assim:
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
namespace: "nextcloud" # Same namespace as the deployment
name: "nextcloud-ingress" # Name of the ingress (see kubectl get ingress -A)
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
cert-manager.io/cluster-issuer: "letsencrypt-prod" # Encrypt using the ClusterIssuer deployed while setting up Cert-Manager
nginx.ingress.kubernetes.io/proxy-body-size: "125m" # Increase the size of the maximum allowed size of the client request body
spec:
tls:
- hosts:
- "nextcloud.<domain redacted>" # Host to access nextcloud
secretName: "nextcloud-prod-tls" # Name of the certificate (see kubectl get certificate -A)
rules:
- host: "nextcloud.<domain redacted>" # Host to access nextcloud
http:
paths:
- path: / # We will access NextCloud via the URL https://nextcloud.<domain.com>/
pathType: Prefix
backend:
service:
name: "nextcloud-server" # Mapping to the service (see kubectl get services -n nextcloud)
port:
number: 80 # Mapping to the port (see kubectl get services -n nextcloud)
---
Depuração
Quando olho para os logs do controlador de entrada (namespace diferente), vejo:
Service "nextcloud/cm-acme-http-solver-9tccf" does not have any active Endpoint.
Mas o endpoint parece existir quando eu faço kubectl get endpoints -A
Meu certificado existe como:
kubectl get certificate -n nextcloud
NAME READY SECRET AGE
nextcloud-prod-tls False nextcloud-prod-tls 3h58m
Seguindo as etapas de depuração recomendadas pelo gerenciador de certificados, rastreei o problema até os desafios que obtive:
Status:
Presented: true
Processing: true
Reason: Waiting for HTTP-01 challenge propagation: wrong status code '401', expected '200'
State: pending
Events: <none>
Estou meio preso, estive pesquisando com todo o meu coração, mas não parece haver muito sobre isso. Acho que estou cheio de configuração, mas tenho seguido principalmente a documentação nas páginas relevantes. Qualquer indicação seria muito apreciada :). Se você precisar de alguma informação adicional, deixe-me saber que isso é bastante longo, então tentei incluir o que considerei serem pontos problemáticos.
Responder1
No meu caso, o clusterissuer estava apontando para a classe de entrada errada
kubectl editar clusterissuer XXXX
solvers:
- http01:
ingress:
class: nginternal
Certifique-se de que a classe esteja apontando para o mesmo que o ingresso.
Responder2
A solução para esta questão foi que o roteador que eu tinha não era capaz de realizar o loop back NAT.
Conseguir um roteador com essa funcionalidade resolveu meu problema. Espero que isso ajude alguém com problemas como esse.