valitvin/certbot Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
valitvin/certbot自动构建
valitvin
用于Ingress的简易Certbot工具,帮助在Kubernetes环境中轻松获取和管理Let's Encrypt SSL证书,通过Ingress路由验证并将证书存储为Kubernetes Secret。
下载次数: 0状态:自动构建维护者:valitvin仓库类型:镜像最近更新:7 年前
certbot
镜像概述和主要用途
certbot镜像是一个适用于Kubernetes环境的轻量级Certbot工具,旨在简化Ingress资源的SSL证书管理流程。通过与Ingress控制器集成,自动处理Let's Encrypt的ACME验证流程,并将生成的SSL证书存储为Kubernetes Secret,实现Ingress的HTTPS配置自动化。
核心功能和特性
- 自动与Let's Encrypt交互,获取免费SSL/TLS证书
- 通过Ingress路由处理ACME验证流量(/.well-known/acme-challenge路径)
- 证书自动存储为Kubernetes Secret,便于Ingress直接引用
- 支持多域名配置,通过环境变量灵活指定目标域名
- 轻量级设计,适合Kubernetes环境部署
使用场景和适用范围
适用于Kubernetes集群中需要为Ingress资源配置SSL/TLS证书的场景,特别适合以下用户:
- 需要为Ingress启用HTTPS的开发者和运维人员
- 希望自动化管理Let's Encrypt证书生命周期的团队
- 使用Ingress控制器(如NGINX、Traefik等)的Kubernetes环境
使用方法和配置说明
前提条件
- 已部署Kubernetes集群
- 已安装Ingress控制器
- 目标域名已正确解析到Ingress控制器的外部IP
步骤1:配置Ingress规则
创建或修改Ingress资源,将ACME验证路径路由到certbot服务:
yamlkind: Ingress apiVersion: networking.k8s.io/v1 metadata: name: <your-ingress-name> namespace: <your-namespace> spec: rules: - host: <your-host> # 例如:example.com http: paths: - path: /.well-known/acme-challenge pathType: Prefix backend: service: name: certbot port: number: 80 - <your-other-paths> # 其他业务路径配置
步骤2:创建Service
创建Service以接收Ingress转发的验证流量:
yamlkind: Service apiVersion: v1 metadata: name: certbot namespace: <your-namespace> spec: selector: run: certbot # 需与Pod标签匹配 ports: - name: certbot port: 80 targetPort: 80
步骤3:部署certbot Pod
使用kubectl运行certbot镜像,配置必要环境变量:
bashkubectl run -n <your-namespace> certbot \ --image=valitvin/certbot \ -l 'run=certbot' \ --env="DOMAINS=<domain-list>" # 逗号分隔的域名列表,如example.com,[***] \ --env="EMAIL=<your-email>" # Let's Encrypt注册*** \ --env="KUBE_NAMESPACE=<your-namespace>" # 目标命名空间 \ --env="CERTNAME=<secret-name>" # 存储证书的Secret名称
环境变量说明
| 环境变量 | 描述 | 示例 |
|---|---|---|
| DOMAINS | 需申请证书的域名列表,逗号分隔 | example.com,[***] |
| 用于接收证书更新通知的*** | *** | |
| KUBE_NAMESPACE | 证书Secret创建的目标命名空间 | default |
| CERTNAME | 存储证书的Secret名称 | tls-cert-secret |
RBAC权限说明
若集群启用RBAC,运行certbot的服务账户需具备在KUBE_NAMESPACE命名空间中创建Secret的权限。可通过以下配置实现:
yamlkind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name: certbot-secret-creator namespace: <your-namespace> rules: - apiGroups: [""] resources: ["secrets"] verbs: ["create", "get", "update"] --- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: certbot-binding namespace: <your-namespace> subjects: - kind: ServiceAccount name: default # 使用默认服务账户或指定自定义账户 namespace: <your-namespace> roleRef: kind: Role name: certbot-secret-creator apiGroup: rbac.authorization.k8s.io
已知问题
- 流量转发延迟:Service和Ingress可能无法立即将流量转发到新创建的certbot Pod,导致ACME验证超时。建议部署后等待1-2分钟,或通过
kubectl get endpoints certbot -n <namespace>确认端点是否正常。
certbot/certbot
certbot
这是电子前哨基金会(EFF)Certbot工具的官方版本,用于从非营利性证书颁发机构Let's Encrypt获取TLS/SSL证书,该工具旨在自动化证书的获取、安装及更新流程,帮助网站管理员轻松实现HTTPS加密,保障网络通信安全,是目前广泛使用的免费SSL证书管理工具之一。
667 次收藏1亿+ 次下载
19 天前更新
certbot/dns-cloudflare
certbot
官方构建的EFF Certbot,包含用于通过Cloudflare进行DNS验证的插件,可处理DNS挑战以获取SSL/TLS证书。
90 次收藏500万+ 次下载
19 天前更新
certbot/dns-route53
certbot
EFF Certbot的官方构建版本,包含用于通过Amazon Route 53执行DNS验证的插件,适用于获取和管理SSL证书。
32 次收藏500万+ 次下载
19 天前更新
certbot/dns-ovh
certbot
EFF的Certbot官方构建版本,包含用于通过OVH进行DNS验证挑战的插件。
3 次收藏100万+ 次下载
19 天前更新
certbot/dns-digitalocean
certbot
EFF的Certbot官方构建版,包含用于通过DigitalOcean进行DNS验证挑战的插件。
21 次收藏100万+ 次下载
19 天前更新
certbot/dns-google
certbot
EFF的Certbot官方构建版本,包含用于通过Google Cloud DNS进行DNS验证的插件。
12 次收藏10万+ 次下载
19 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"