解决cert-manager在AWS EKS上的Route53 DNS验证问题

问题背景

在使用cert-manager为Kubernetes集群中的服务自动管理TLS证书时，许多用户选择使用AWS Route53作为DNS验证的提供者。然而，在配置过程中经常会遇到两类典型问题：IAM角色授权问题和DNS传播验证失败。

IAM角色配置问题

在AWS环境中，cert-manager需要通过IAM角色获得操作Route53的权限。常见的错误信息如下：

error instantiating route53 challenge solver: unable to assume role: AccessDenied: User: arn:aws:sts::xxxxx:assumed-role/cert-manager/xxxx is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::9xxxxx:role/cert-manager

解决方案

1. 服务账户确认：首先确认cert-manager使用的服务账户名称。在Helm安装时，默认服务账户名称为"cert-manager"而非"cert-manager-controller"。

2. IAM信任关系配置：需要在IAM角色的信任关系中添加两条策略：

   • 允许EKS OIDC提供商通过WebIdentity方式担任该角色
   • 允许cert-manager角色自身担任该角色

示例信任策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::xxxx:oidc-provider/oidc.eks.xxx-1.amazonaws.com/id/xxxxx"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.xxxx.amazonaws.com/id/xxxx:sub": "system:serviceaccount:cert-manager:cert-manager"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::xxxx:role/cert-manager"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

DNS传播验证失败

解决IAM问题后，可能会遇到DNS传播验证失败的问题：

"propagation check failed" err="NS ns-512.awsdns-00.net.:53 returned REFUSED for _acme-challenge.stage-keycloak.xxx.xxx.com."

可能原因与解决方案

1. DNS记录尚未完全传播：AWS Route53虽然传播速度快，但仍需要一定时间。可以尝试增加cert-manager的等待时间配置。

2. 权限不足：确保IAM角色具有Route53的完整操作权限，包括列出和修改DNS记录。

3. 区域配置错误：确认cert-manager配置中指定的Route53区域ID与域名实际所在的Route53托管区域一致。

4. 网络策略限制：检查EKS集群的网络策略是否允许cert-manager pod访问外部DNS服务。

最佳实践建议

1. 最小权限原则：为cert-manager角色仅授予必要的Route53权限，通常包括：

   • route53:GetChange
   • route53:ListHostedZones
   • route53:ChangeResourceRecordSets

2. 调试技巧：

   • 使用kubectl检查cert-manager pod日志
   • 在Route53控制台手动验证DNS记录是否已创建
   • 使用dig或nslookup命令验证DNS记录是否可解析

3. 配置示例：

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    secretKeyRef:
      name: letsencrypt-prod
    solvers:
    - dns01:
        route53:
          region: us-east-1
          hostedZoneID: Z1PA6795UKMFR9
          role: arn:aws:iam::ACCOUNT_ID:role/cert-manager

通过以上配置和问题排查方法，大多数cert-manager与Route53集成的问题都能得到有效解决。