Привет, а почему возникает эта ошибка? Этот сайт не может обеспечить безопасное соединение. На сайте ssl-test.test1.space используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH Неподдерживаемый протокол Клиент и сервер поддерживают разные версии протокола SSL или набора шифров. А еще я смотрю, что то не так с секретом: В секций TYPE у меня надпись "Opaque" все время
dig ssl-test.test1.space ;ssl-test.test1.space. IN A если нет реального домена указывающего на кластер - letsecrypt не сможет выдать сертификат. Иными словами - сначала надо завести домен (например купить на godaddy на скидках за 2 доллара/год), направить его на кластер (A запись) и только после этого cluster issuer сможет получить от letsencrypt сертификат
@@LinuxTrainingCenter У меня есть реальный домен kubikas.space специально завел. Один раз у меня вышло поднять https, потом я снес, повторение мать ученья. И раз 8 поднимал чистый кластер в GCP. И больше поднять https я не смог. Цепочка Ingress - Service - Pod (из вашего 3 урока, работает прекрасно). Далее, насчет этого урока. Тут ведь проблем не должны быть, в yaml ваш домен заменяю на свой. Там всего то две строчки в ingress-ssl.yaml 1) dig ssl-test.kubikas.space есть ответ. 2) kubectl get ingress -n ssl-test весит acme-solver, 3) kubectl get secrets -n ssl-test статус висит как "Opaque". 4) Сделал проверку cert-manager-test из cert-manager.io/docs/installation/kubernetes/ все работает. Просто уже не знаю где искать проблему.
@@Zvezd83 curl ssl-test.kubikas.space/ отвечает ? У меня нет ответа. Удаляйте deployment-service-ingerss , удаляйте secret в нэймспейсе. Деплойте еще раз. Проверяйте что есть ответ на curl ssl-test.kubikas.space/ (открыты 80 и 443 порты на firewall кубика). После этого должно все взлететь
@@Zvezd83 Moved Permanently - не ошибка, а код перенаправления постоянного. Когда в nginx ingress " nginx.ingress.kubernetes.io/ssl-redirect: "true"" - игресс сам редиректит http на https . Вопрос - порт 80 и 443 открыты для всех ? Вот это /.well-known/acme-challenge/8GOITQw3i_n4562nmNLjTrYuUYf-H75675zrDQwn_eXmQA HTTP/1.1 - означает что letsencrypt пытается проверить что домен дейтсвительно пренадлежит вам и находится на этом IP. Для дебага надо смотреть всю цепочку cert-manager, nginx ingerss (правильно ли указан issuer) , service , deploy Можете например взять новый name space и засетапить с нуля все. И проверьте что в ингрессе github.com/3sergey/kubernetes-practice/blob/master/4_cert_manager/ingress-ssl.yaml - Вы поменяли все поля (spec.tls.hosts , spec.rules.host и имя кластер ишьюера )
Приветствую!
Скажите, пожалуйста, а в закрытом контуре, без доступа в Интернет, можно HTTPS применять к ресурсам? Какие-то варианты возможны?
Привет, а почему возникает эта ошибка?
Этот сайт не может обеспечить безопасное соединение.
На сайте ssl-test.test1.space используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров.
А еще я смотрю, что то не так с секретом: В секций TYPE у меня надпись "Opaque" все время
dig ssl-test.test1.space
;ssl-test.test1.space. IN A
если нет реального домена указывающего на кластер - letsecrypt не сможет выдать сертификат.
Иными словами - сначала надо завести домен (например купить на godaddy на скидках за 2 доллара/год), направить его на кластер (A запись) и только после этого cluster issuer сможет получить от letsencrypt сертификат
@@LinuxTrainingCenter У меня есть реальный домен kubikas.space специально завел. Один раз у меня вышло поднять https, потом я снес, повторение мать ученья. И раз 8 поднимал чистый кластер в GCP. И больше поднять https я не смог.
Цепочка Ingress - Service - Pod (из вашего 3 урока, работает прекрасно).
Далее, насчет этого урока. Тут ведь проблем не должны быть, в yaml ваш домен заменяю на свой. Там всего то две строчки в ingress-ssl.yaml
1) dig ssl-test.kubikas.space есть ответ.
2) kubectl get ingress -n ssl-test весит acme-solver,
3) kubectl get secrets -n ssl-test статус висит как "Opaque".
4) Сделал проверку cert-manager-test из cert-manager.io/docs/installation/kubernetes/ все работает.
Просто уже не знаю где искать проблему.
@@Zvezd83 curl ssl-test.kubikas.space/ отвечает ? У меня нет ответа. Удаляйте deployment-service-ingerss , удаляйте secret в нэймспейсе. Деплойте еще раз. Проверяйте что есть ответ на curl ssl-test.kubikas.space/ (открыты 80 и 443 порты на firewall кубика). После этого должно все взлететь
@@LinuxTrainingCenter curl ssl-test.kubikas.space
1) curl ssl-test.kubikas.space Выдает ошибку: 301 Moved Permanently.
2) kubectl describe ingress -n ssl-test Выдает предупреждение:
Type Reason Age From Message
Warning Rejected 12m nginx-ingress-controller All hosts are taken by other resources
3)kubectl logs -f my-release-nginx-ingress-6f4f76fd94-w2f9k -n nginx-ingress Выдает:
10.4.0.5 - - [03/Nov/2020:16:04:32 +0000] "GET /.well-known/acme-challenge/8GOITQw3i_n4562nmNLjTrYuUYf-H75675zrDQwn_eXmQA HTTP/1.1" 301 169 "-" "jetstack-cert-manager/v1.0.4 (clean)" "-"
@@Zvezd83 Moved Permanently
- не ошибка, а код перенаправления постоянного. Когда в nginx ingress " nginx.ingress.kubernetes.io/ssl-redirect: "true"" - игресс сам редиректит http на https .
Вопрос - порт 80 и 443 открыты для всех ?
Вот это /.well-known/acme-challenge/8GOITQw3i_n4562nmNLjTrYuUYf-H75675zrDQwn_eXmQA HTTP/1.1 - означает что letsencrypt пытается проверить что домен дейтсвительно пренадлежит вам и находится на этом IP.
Для дебага надо смотреть всю цепочку cert-manager, nginx ingerss (правильно ли указан issuer) , service , deploy
Можете например взять новый name space и засетапить с нуля все. И проверьте что в ингрессе github.com/3sergey/kubernetes-practice/blob/master/4_cert_manager/ingress-ssl.yaml - Вы поменяли все поля (spec.tls.hosts , spec.rules.host и имя кластер ишьюера )
Интересно конечно. Как подкаст. Смотреть увы, вытекли глаза после 4й минуты. Вам бы так отбеливателем глаза залить. Чтоб прочувствовали