解决cert-manager在AWS EKS上的Route53 DNS验证问题
2025-05-18 01:55:26作者:尤辰城Agatha
问题背景
在使用cert-manager为Kubernetes集群中的服务自动管理TLS证书时,许多用户选择使用AWS Route53作为DNS验证的提供者。然而,在配置过程中经常会遇到两类典型问题:IAM角色授权问题和DNS传播验证失败。
IAM角色配置问题
在AWS环境中,cert-manager需要通过IAM角色获得操作Route53的权限。常见的错误信息如下:
error instantiating route53 challenge solver: unable to assume role: AccessDenied: User: arn:aws:sts::xxxxx:assumed-role/cert-manager/xxxx is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::9xxxxx:role/cert-manager
解决方案
-
服务账户确认:首先确认cert-manager使用的服务账户名称。在Helm安装时,默认服务账户名称为"cert-manager"而非"cert-manager-controller"。
-
IAM信任关系配置:需要在IAM角色的信任关系中添加两条策略:
- 允许EKS OIDC提供商通过WebIdentity方式担任该角色
- 允许cert-manager角色自身担任该角色
示例信任策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::xxxx:oidc-provider/oidc.eks.xxx-1.amazonaws.com/id/xxxxx"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.xxxx.amazonaws.com/id/xxxx:sub": "system:serviceaccount:cert-manager:cert-manager"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxx:role/cert-manager"
},
"Action": "sts:AssumeRole"
}
]
}
DNS传播验证失败
解决IAM问题后,可能会遇到DNS传播验证失败的问题:
"propagation check failed" err="NS ns-512.awsdns-00.net.:53 returned REFUSED for _acme-challenge.stage-keycloak.xxx.xxx.com."
可能原因与解决方案
-
DNS记录尚未完全传播:AWS Route53虽然传播速度快,但仍需要一定时间。可以尝试增加cert-manager的等待时间配置。
-
权限不足:确保IAM角色具有Route53的完整操作权限,包括列出和修改DNS记录。
-
区域配置错误:确认cert-manager配置中指定的Route53区域ID与域名实际所在的Route53托管区域一致。
-
网络策略限制:检查EKS集群的网络策略是否允许cert-manager pod访问外部DNS服务。
最佳实践建议
-
最小权限原则:为cert-manager角色仅授予必要的Route53权限,通常包括:
- route53:GetChange
- route53:ListHostedZones
- route53:ChangeResourceRecordSets
-
调试技巧:
- 使用kubectl检查cert-manager pod日志
- 在Route53控制台手动验证DNS记录是否已创建
- 使用dig或nslookup命令验证DNS记录是否可解析
-
配置示例:
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt-prod
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
secretKeyRef:
name: letsencrypt-prod
solvers:
- dns01:
route53:
region: us-east-1
hostedZoneID: Z1PA6795UKMFR9
role: arn:aws:iam::ACCOUNT_ID:role/cert-manager
通过以上配置和问题排查方法,大多数cert-manager与Route53集成的问题都能得到有效解决。
登录后查看全文
热门项目推荐
相关项目推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0214
cann-learning-hubCANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。Jupyter Notebook0138
uni-appA cross-platform framework using Vue.jsJavaScript08
GLM-5.2智谱开源 GLM-5.2,这是针对长文本任务的最新旗舰模型。相较于前代产品 GLM-5.1,它在长文本任务处理能力上实现了显著飞跃,并且首次在稳定的 100 万 token 上下文中提供这一能力。Jinja00
SwanLab⚡️SwanLab - an open-source, modern-design AI training tracking and visualization tool. Supports Cloud / Self-hosted use. Integrated with PyTorch / Transformers / LLaMA Factory / veRL/ Swift / Ultralytics / MMEngine / Keras etc.Python00
tiny-universe《大模型白盒子构建指南》:一个全手搓的Tiny-UniverseJupyter Notebook03
项目优选
收起
kerneldeepin linux kernel
C
32
16
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
469
465
docs暂无描述
Dockerfile
778
5.08 K
pytorchAscend Extension for PyTorch
Python
757
968
ops-transformer本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。
C++
876
2.03 K
ops-nn本项目是CANN提供的神经网络类计算算子库,实现网络在NPU上加速计算。
C++
697
1.4 K
MindSpeed-LLM昇腾LLM分布式训练框架
Python
185
231
jiuwenswarmJiuwenSwarm 是一款基于openJiuwen开发的智能AI Agent,它能够将大语言模型的强大能力,通过你日常使用的各类通讯应用,直接延伸至你的指尖。
Python
2.25 K
676
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1.1 K
1.14 K
flutter_flutter本仓库是 Flutter SDK 与 Flutter Engine 的 OpenHarmony 适配版本,由 CPF-Flutter 团队维护。开发者可使用熟悉的 Flutter 技术栈开发 OpenHarmony 应用,3.35.7 及以后的适配版本可基于本仓库源码构建支持 OpenHarmony 的 Flutter Engine。
Dart
1.04 K
271