热门搜索:

baarde/cert-manager-webhook-ovh

baarde

Cert Manager的OVH DNS Webhook插件，用于通过OVH DNS验证自动签发和管理SSL/TLS证书，支持ACME协议，实现证书申请、续期的自动化流程。

下载次数: 0状态：社区镜像维护者：baarde仓库类型：镜像最近更新：2 天前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

OVH Webhook for Cert Manager 镜像文档

1. 镜像概述

OVH Webhook for Cert Manager是Cert Manager的扩展组件，专为集成OVH DNS服务设计，通过ACME DNS-01挑战验证机制实现SSL/TLS证书的自动化签发与管理。该镜像作为Cert Manager的Webhook接口，桥接ACME证书颁发机构（如Let's Encrypt）与OVH DNS服务，实现域名所有权验证及证书生命周期的全自动化管理。

2. 核心功能与特性

ACME DNS-01验证支持：通过OVH DNS服务自动创建和清理_acme-challenge验证记录，完成域名所有权验证
OVH API深度集成：安全对接OVH DNS API，支持域名解析记录的动态管理
证书生命周期自动化：自动处理证书申请、签发、续期及替换流程，避免人工干预
多场景证书支持：兼容单域名、多域名及通配符域名证书（如*.example.com）
灵活配置：支持自定义OVH API端点、权限范围及证书参数，适配不同OVH服务区域
高可靠性：与Cert Manager原生接口兼容，支持故障重试与状态监控

3. 使用场景与适用范围

基于OVH DNS的Kubernetes集群：在使用OVH DNS服务的K8s环境中实现证书自动化管理
多域名Web服务：需为多个子域名或通配符域名统一管理证书的企业网站、电商平台
DevOps自动化流程：集成到CI/CD pipeline，实现应用部署时的证书自动配置
合规性要求场景：需满足HTTPS强制要求的***、政务等对证书有效期敏感的业务系统
高可用架构：需避免证书过期导致服务中断的核心生产环境

4. 使用方法与配置说明

4.1 前置条件

Kubernetes集群（v1.19+）
Cert Manager（v1.0+）已部署至集群
OVH API凭证（包含Application Key、Application Secret、Consumer Key），需具备以下权限：
- GET /domain/zone/*（读取DNS区域）
- POST /domain/zone/*（创建DNS记录）
- DELETE /domain/zone/*（删除DNS记录）

4.2 获取OVH API凭证

登录OVH开发者控制台
创建应用并获取Application Key和Application Secret
生成Consumer Key，设置权限范围为上述DNS操作权限，记录生成的凭证

4.3 部署Webhook

4.3.1 Helm部署（推荐）

bash
# 添加Helm仓库
helm repo add ovh-webhook https://ovh.github.io/cert-manager-webhook-ovh
helm repo update

# 部署Webhook
helm install ovh-webhook ovh-webhook/cert-manager-webhook-ovh \
  --namespace cert-manager \
  --create-namespace \
  --set groupName=acme.yourdomain.com  # 自定义API组名称，需与后续Issuer配置一致

4.3.2 手动部署（Docker镜像直接使用）

bash
# 拉取镜像
docker pull ovhcom/cert-manager-webhook-ovh:latest

# 运行容器（仅用于测试，生产环境建议通过K8s Deployment部署）
docker run -d \
  --name ovh-webhook \
  -p 443:443 \
  -e GROUP_NAME=acme.yourdomain.com \
  -e METRICS_ADDR=:8080 \
  -e HEALTH_ADDR=:8081 \
  ovhcom/cert-manager-webhook-ovh:latest

4.4 配置OVH凭证Secret

创建存储OVH API凭证的Kubernetes Secret：

yaml
apiVersion: v1
kind: Secret
metadata:
  name: ovh-credentials
  namespace: cert-manager  # 需与Cert Manager同命名空间
type: Opaque
data:
  application-key: <base64编码的Application Key>  # 示例：echo -n "your-key" | base64
  application-secret: <base64编码的Application Secret>
  consumer-key: <base64编码的Consumer Key>
  endpoint: <base64编码的OVH API端点>  # 可选值：ovh-eu/ovh-ca/ovh-us

4.5 配置Issuer/ClusterIssuer

创建ACME证书颁发者配置，指定OVH Webhook作为DNS验证器：

yaml
apiVersion: cert-manager.io/v1
kind: ClusterIssuer  # 集群级颁发者，适用于多命名空间
metadata:
  name: ovh-acme-issuer
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory  # 生产环境
    # server: https://acme-staging-v02.api.letsencrypt.org/directory  # 测试环境（无速率限制）
    email: admin@example.com  # 证书过期通知邮箱
    privateKeySecretRef:
      name: ovh-acme-issuer-private-key  # 存储ACME账户私钥的Secret名称
    solvers:
    - dns01:
        webhook:
          groupName: acme.yourdomain.com  # 需与Webhook部署时的GROUP_NAME一致
          solverName: ovh  # 固定值，对应Webhook solver名称
          config:
            ovhSecretRef:
              name: ovh-credentials  # 引用4.4节创建的Secret
              key: application-key
              secretKey: application-secret
              consumerKey: consumer-key
              endpoint: endpoint
            zoneName: example.com  # OVH域名根 zone（如管理子域名，填写父域名）

4.6 申请证书

创建Certificate资源申请证书：

yaml
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: example-com-cert
  namespace: default  # 目标应用所在命名空间
spec:
  secretName: example-com-tls  # 存储证书的Secret名称（应用需挂载此Secret）
  issuerRef:
    name: ovh-acme-issuer    # 引用4.5节创建的Issuer/ClusterIssuer
    kind: ClusterIssuer
  dnsNames:                  # 需签发证书的域名列表
  - example.com
  - www.example.com
  - "*.example.com"          # 通配符域名（需配合DNS-01验证）
  duration: 2160h            # 证书有效期（默认90天）
  renewBefore: 360h          # 提前续期时间（默认30天）

4.7 验证部署

检查证书状态

bash
kubectl get certificate example-com-cert -n default

输出示例（就绪状态）：

NAME               READY   SECRET             ISSUER              STATUS                                          AGE
example-com-cert   True    example-com-tls    ovh-acme-issuer     Certificate is up to date and has not expired   10m

检查Secret内容

bash
kubectl describe secret example-com-tls -n default

确认包含tls.crt（证书）和tls.key（私钥）字段。

5. 配置参数说明

5.1 OVH API凭证参数

参数	描述	必选	来源
application-key	OVH应用标识密钥	是	OVH开发者控制台创建应用时生成
application-secret	OVH应用密钥对应的密钥值	是	OVH开发者控制台创建应用时生成
consumer-key	用户授权密钥，关联具体OVH账户权限	是	通过OVH API授权流程生成（需DNS操作权限）
endpoint	OVH API服务端点	否	可选值：`ovh-eu`（默认）/`ovh-ca`/`ovh-us`

5.2 Webhook运行参数

参数	描述	默认值	环境变量配置示例
groupName	Webhook API组名称	无	`GROUP_NAME=acme.yourdomain.com`
logLevel	日志级别（debug/info/warn/error）	info	`LOG_LEVEL=debug`
metricsAddr	指标暴露地址	:8080	`METRICS_ADDR=:9090`
healthAddr	健康检查地址	:8081	`HEALTH_ADDR=:9091`
tlsCertFile	TLS证书文件路径	/tls/tls.crt	`TLS_CERT_FILE=/custom/cert.crt`
tlsKeyFile	TLS私钥文件路径	/tls/tls.key	`TLS_KEY_FILE=/custom/key.key`

6. 常见问题排查

6.1 证书申请失败（Pending状态）

排查步骤：
1. 检查Cert Manager日志：kubectl logs -n cert-manager deploy/cert-manager -f
2. 检查Webhook日志：kubectl logs -n cert-manager deploy/ovh-webhook -f
3. 验证OVH API凭证权限：通过OVH API测试工具确认凭证是否具备DNS记录读写权限

6.2 Webhook服务不可达

可能原因：
- Webhook Deployment未正常运行：kubectl get pods -n cert-manager
- 网络策略限制：检查是否有NetworkPolicy阻止Cert Manager访问Webhook服务（默认端口443）
- 证书问题：Webhook TLS证书无效或未正确挂载

6.3 OVH API调用失败

常见错误：
- 403 Forbidden：检查Consumer Key权限是否包含GET /domain/zone/*和POST /domain/zone/*
- 404 Not Found：确认zoneName配置与OVH域名一致（需填写根域名，如example.com而非sub.example.com）
- 503 Service Unavailable：OVH API服务暂时不可用，可稍后重试或切换API端点

6.4 证书续期失败

排查方向：
- 检查证书renewBefore配置是否早于证书有效期的1/3
- 确认OVH API凭证未过期（Consumer Key默认有效期可配置）
- 检查集群时间同步（NTP服务异常可能导致时间戳验证失败）

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 cert-manager-webhook-ovh 镜像标签

docker pull docker.xuanyuan.run/baarde/cert-manager-webhook-ovh:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull baarde/cert-manager-webhook-ovh:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"