From 205e8b9c53fd93197d5095bb3df7cb203560d24d Mon Sep 17 00:00:00 2001
From: erjemin <erjemin@gmail.com>
Date: Sun, 27 Apr 2025 11:57:28 +0300
Subject: [PATCH] =?UTF-8?q?mod:=20=D0=9F=D0=B5=D1=80=D0=B5=D0=BD=D0=BE?=
 =?UTF-8?q?=D1=81=20=D0=BA=D0=BE=D0=BD=D1=82=D0=B5=D0=B9=D0=BD=D0=B5=D1=80?=
 =?UTF-8?q?=D0=B0=20Docker=20=D0=B2=20k3s.....?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 kubernetes/k3s-proxy.md | 37 ++++++++++++++++++++-----------------
 1 file changed, 20 insertions(+), 17 deletions(-)

diff --git a/kubernetes/k3s-proxy.md b/kubernetes/k3s-proxy.md
index 0781fb9..4efc8c0 100644
--- a/kubernetes/k3s-proxy.md
+++ b/kubernetes/k3s-proxy.md
@@ -91,22 +91,6 @@ spec:
       targetPort: <PROXIED-PORT>  # Порт на Synology
       protocol: TCP
 
----
-# Certificate для TLS-сертификата от Let’s Encrypt
-# Запрашивает сертификат для <YOU-DOMAIN-NAME> через cert-manager
-apiVersion: cert-manager.io/v1
-kind: Certificate
-metadata:
-  name: <SERVICE-NAME>-tls
-  namespace: <NAME-SPACE>
-spec:
-  secretName: <SERVICE-NAME>-tls  # Имя секрета для сертификата
-  dnsNames:
-    - <YOU-DOMAIN-NAME>  # Домен для сертификата
-  issuerRef:
-    name: letsencrypt-prod  # ClusterIssuer для Let’s Encrypt
-    kind: ClusterIssuer
-
 ---
 # Middleware для редиректа HTTP → HTTPS
 # Применяется к HTTP-запросам для перенаправления на HTTPS
@@ -197,9 +181,28 @@ spec:
           port: <PROXIED-PORT>
       middlewares:
         - name: no-https-redirect  # Не редиректить ACME
+
+---
+# Certificate для TLS-сертификата от Let’s Encrypt
+# Запрашивает сертификат для <YOU-DOMAIN-NAME> через cert-manager
+# ВАЖНО: cert-manager должен быть установлен в кластере
+# ВАЖНО: если манифесты принимаются (apply) последовательно, то манифест с сертификатом должен быть последним для
+#        избежания исчерпания лимитов Let’s Encrypt (пять запросов в неделю)
+apiVersion: cert-manager.io/v1
+kind: Certificate
+metadata:
+  name: <SERVICE-NAME>-tls
+  namespace: <NAME-SPACE>
+spec:
+  secretName: <SERVICE-NAME>-tls  # Имя секрета для сертификата
+  dnsNames:
+    - <YOU-DOMAIN-NAME>  # Домен для сертификата
+  issuerRef:
+    name: letsencrypt-prod  # ClusterIssuer для Let’s Encrypt
+    kind: ClusterIssuer
 ```
 
-ВАЖНО: В манифесте используется letsencrypt-prod для получения сертификата от Let’s Encrypt. Это нестандартный 
+**ВАЖНО**: В манифесте используется letsencrypt-prod для получения сертификата от Let’s Encrypt. Это нестандартный 
 ClusterIssuer cert-manager, создание которого описано в [документации](https://cert-manager.io/docs/usage/ingress/#tls-termination)
 и [отдельной инструкции](k3s-custom-container-deployment.md#создание-clusterissuer)
 (возможно, вам нужно будет создать его отдельно). Если вы используете другой ClusterIssuer, то замените letsencrypt-prod