解决cert-manager在AWS EKS上的Route53 DNS验证问题
2025-05-18 01:55:26作者:尤辰城Agatha
问题背景
在使用cert-manager为Kubernetes集群中的服务自动管理TLS证书时,许多用户选择使用AWS Route53作为DNS验证的提供者。然而,在配置过程中经常会遇到两类典型问题:IAM角色授权问题和DNS传播验证失败。
IAM角色配置问题
在AWS环境中,cert-manager需要通过IAM角色获得操作Route53的权限。常见的错误信息如下:
error instantiating route53 challenge solver: unable to assume role: AccessDenied: User: arn:aws:sts::xxxxx:assumed-role/cert-manager/xxxx is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::9xxxxx:role/cert-manager
解决方案
-
服务账户确认:首先确认cert-manager使用的服务账户名称。在Helm安装时,默认服务账户名称为"cert-manager"而非"cert-manager-controller"。
-
IAM信任关系配置:需要在IAM角色的信任关系中添加两条策略:
- 允许EKS OIDC提供商通过WebIdentity方式担任该角色
- 允许cert-manager角色自身担任该角色
示例信任策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::xxxx:oidc-provider/oidc.eks.xxx-1.amazonaws.com/id/xxxxx"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.xxxx.amazonaws.com/id/xxxx:sub": "system:serviceaccount:cert-manager:cert-manager"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxx:role/cert-manager"
},
"Action": "sts:AssumeRole"
}
]
}
DNS传播验证失败
解决IAM问题后,可能会遇到DNS传播验证失败的问题:
"propagation check failed" err="NS ns-512.awsdns-00.net.:53 returned REFUSED for _acme-challenge.stage-keycloak.xxx.xxx.com."
可能原因与解决方案
-
DNS记录尚未完全传播:AWS Route53虽然传播速度快,但仍需要一定时间。可以尝试增加cert-manager的等待时间配置。
-
权限不足:确保IAM角色具有Route53的完整操作权限,包括列出和修改DNS记录。
-
区域配置错误:确认cert-manager配置中指定的Route53区域ID与域名实际所在的Route53托管区域一致。
-
网络策略限制:检查EKS集群的网络策略是否允许cert-manager pod访问外部DNS服务。
最佳实践建议
-
最小权限原则:为cert-manager角色仅授予必要的Route53权限,通常包括:
- route53:GetChange
- route53:ListHostedZones
- route53:ChangeResourceRecordSets
-
调试技巧:
- 使用kubectl检查cert-manager pod日志
- 在Route53控制台手动验证DNS记录是否已创建
- 使用dig或nslookup命令验证DNS记录是否可解析
-
配置示例:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt-prod
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
secretKeyRef:
name: letsencrypt-prod
solvers:
- dns01:
route53:
region: us-east-1
hostedZoneID: Z1PA6795UKMFR9
role: arn:aws:iam::ACCOUNT_ID:role/cert-manager
通过以上配置和问题排查方法,大多数cert-manager与Route53集成的问题都能得到有效解决。
登录后查看全文
相关内容推荐
热门项目推荐
相关项目推荐
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C0120
let_datasetLET数据集 基于全尺寸人形机器人 Kuavo 4 Pro 采集,涵盖多场景、多类型操作的真实世界多任务数据。面向机器人操作、移动与交互任务,支持真实环境下的可扩展机器人学习00
mindquantumMindQuantum is a general software library supporting the development of applications for quantum computation.Python059
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7-FlashGLM-4.7-Flash 是一款 30B-A3B MoE 模型。作为 30B 级别中的佼佼者,GLM-4.7-Flash 为追求性能与效率平衡的轻量化部署提供了全新选择。Jinja00
最新内容推荐
【免费下载】 JDK 8 和 JDK 17 无缝切换及 IDEA 和 【maven下载安装与配置】 DirectX修复工具【亲测免费】 让经典焕发新生:使用 Visual Studio Code 作为 Visual C++ 6.0 编辑器【亲测免费】 抖音直播助手:douyin-live-go 项目推荐【亲测免费】 使用Docker-Compose部署达梦DEM管理工具(适用于Mac M1系列)【亲测免费】 ActivityManager 使用指南【免费下载】 Windows Keepalived:Windows系统上的高可用性解决方案 Matlab物理建模仿真利器——Simscape及其编程语言Simscape Language学习资源推荐【亲测免费】 Windows10安装Hadoop 3.1.3详细教程【亲测免费】 开源项目 gkd-kit/gkd 常见问题解决方案
项目优选
收起
kerneldeepin linux kernel
C
27
11
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
490
3.61 K
pytorchAscend Extension for PyTorch
Python
299
331
flutter_flutter暂无简介
Dart
739
177
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
282
120
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
865
471
cangjie_compiler仓颉编译器源码及 cjdb 调试工具。
C++
149
880
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
297
344
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
65
20
Dora-SSRDora SSR 是一款跨平台的游戏引擎,提供前沿或是具有探索性的游戏开发功能。它内置了Web IDE,提供了可以轻轻松松通过浏览器访问的快捷游戏开发环境,特别适合于在新兴市场如国产游戏掌机和其它移动电子设备上直接进行游戏开发和编程学习。
C++
52
7