add: под с 3X-UI ......

2025-03-31 18:09:01 +03:00 · 2025-03-31 18:09:01 +03:00 · c54ab2ebc1
commit c54ab2ebc1
parent f3a296f9e4
1 changed files with 67 additions and 0 deletions
--- a/kubernetes/k3s-3xui-pod.md
+++ b/kubernetes/k3s-3xui-pod.md
@ -319,3 +319,70 @@ Keepalived добавляет 50 к базовому приоритету нод
 Так что если на домашнем роутере настроить перенаправление портов (для 2053-порта веб-панели 3x-ui, и портов которые
 будем выбирать для VPN-соединений), то можно будет подключаться к 3x-ui и VPN-соединениям из любой точки мира.
 ### Доступ через Ingress Controller c https и перенаправлением трафика на узел с подом с 3x-ui
 Установим Cert-Manager для автоматического получения сертификатов Let's Encrypt. Это позволит нам использовать
 HTTPS для доступа к 3x-ui (и другим подам). Cert-Manager автоматически обновляет сертификаты, когда они истекают.
 ```bash
 sudo kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.13.1/cert-manager.yaml
 ```
 В результате у нас появится три новых пода в пространстве имён `cert-manager`:
 ```bash
 sudo k3s kubectl get pods -n cert-manager -o wide
 ```
 Увидим что-то вроде:
 ```text
 NAME                                       READY   STATUS    RESTARTS   AGE     IP           NODE         NOMINATED NODE   READINESS GATES
 cert-manager-64478b89d5-p4msl              1/1     Running   0          8m36s   10.42.1.55   opi5plus-3   <none>           <none>
 cert-manager-cainjector-65559df4ff-t7rj4   1/1     Running   0          8m36s   10.42.1.54   opi5plus-3   <none>           <none>
 cert-manager-webhook-544c988c49-zxdxc      1/1     Running   0          8m36s   10.42.1.56   opi5plus-3   <none>           <none>
 ```
 Cert-Manager состоит из трёх основных компонентов, каждый из которых запускается в своём поде:
 * `cert-manager` -- основной контроллер. Он следит за ресурсами вроде Certificate и Issuer, запрашивает сертификаты
   у провайдеров (например, Let’s Encrypt) и обновляет их при необходимости.
 * `cert-manager-cainjector` -- внедряет CA (Certificate Authority) в вебхуки и другие ресурсы Kubernetes, чтобы
  они могли доверять сертификатам, выданным Cert-Manager.
 * `cert-manager-webhook` -- отвечает за валидацию и мутацию запросов на создание или обновление ресурсов, связанных
  с сертификатами. Он проверяет их на соответствие правилам.
 Создадим манифест ClusterIssuer (эмитент кластера) для Cert-Manager. В нем описываются правила для получения 
 сертификатов от внешнего поставщика (в нашем случае Let's Encrypt) и укажем твм адрес сервера ACME, email для
 уведомлений, способы подтверждения владения доменом (например, через HTTP-01 или DNS-01).
 ```bash
 mkdir ~/k3s/cert-manager
 nano ~/k3s/cert-manager/clusterissuer.yaml
 ```
 И вставим в него следующий код (не забудь указать свой email):
 ```yaml
 piVersion: cert-manager.io/v1
 kind: ClusterIssuer
 metadata:
  name: letsencrypt-prod
 spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: ваш@емейл.где-то
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: traefik  # Ingress-контроллер, например, traefik
 ```
 Применим манифест, чтобы cert-manager принял конфигурацию:
 ```bash
 sudo kubectl apply -f ~/k3s/cert-manager/clusterissuer.yaml 
 ```
 Это будет работать для всего кластера и для всех подов (текущих и будущих). Cert-Manager будет автоматически
 запрашивать и обновлять сертификаты. Let's Encrypt при проверке прав владения доменом посредством правила HTTP-01 
 использует http (порт 80) и нужно настроить в роутере перенаправление трафика на кластер (лучше через VIP) для этого
 порта.