diff --git a/kubernetes/k3s-proxy.md b/kubernetes/k3s-proxy.md index 0781fb9..4efc8c0 100644 --- a/kubernetes/k3s-proxy.md +++ b/kubernetes/k3s-proxy.md @@ -91,22 +91,6 @@ spec: targetPort: # Порт на Synology protocol: TCP ---- -# Certificate для TLS-сертификата от Let’s Encrypt -# Запрашивает сертификат для через cert-manager -apiVersion: cert-manager.io/v1 -kind: Certificate -metadata: - name: -tls - namespace: -spec: - secretName: -tls # Имя секрета для сертификата - dnsNames: - - # Домен для сертификата - issuerRef: - name: letsencrypt-prod # ClusterIssuer для Let’s Encrypt - kind: ClusterIssuer - --- # Middleware для редиректа HTTP → HTTPS # Применяется к HTTP-запросам для перенаправления на HTTPS @@ -197,9 +181,28 @@ spec: port: middlewares: - name: no-https-redirect # Не редиректить ACME + +--- +# Certificate для TLS-сертификата от Let’s Encrypt +# Запрашивает сертификат для через cert-manager +# ВАЖНО: cert-manager должен быть установлен в кластере +# ВАЖНО: если манифесты принимаются (apply) последовательно, то манифест с сертификатом должен быть последним для +# избежания исчерпания лимитов Let’s Encrypt (пять запросов в неделю) +apiVersion: cert-manager.io/v1 +kind: Certificate +metadata: + name: -tls + namespace: +spec: + secretName: -tls # Имя секрета для сертификата + dnsNames: + - # Домен для сертификата + issuerRef: + name: letsencrypt-prod # ClusterIssuer для Let’s Encrypt + kind: ClusterIssuer ``` -ВАЖНО: В манифесте используется letsencrypt-prod для получения сертификата от Let’s Encrypt. Это нестандартный +**ВАЖНО**: В манифесте используется letsencrypt-prod для получения сертификата от Let’s Encrypt. Это нестандартный ClusterIssuer cert-manager, создание которого описано в [документации](https://cert-manager.io/docs/usage/ingress/#tls-termination) и [отдельной инструкции](k3s-custom-container-deployment.md#создание-clusterissuer) (возможно, вам нужно будет создать его отдельно). Если вы используете другой ClusterIssuer, то замените letsencrypt-prod