集群上部署了几个简单的网站那些是未加密的网站。不错它们可以工作，但是未加密的网站有点太过时了！如今大多数网站都是加密的。在本文中我们将安装 并將其用于在集群上以部署采用 TLS 加密的网站。这些网站不仅会被加密而且还会使用有效的公共证书，这些证书会从 自动获取和更新！让我們开始吧！

要继续阅读本文你将需要我们在上一篇文章中构建的 。另外你需要拥有一个公用静态 IP 地址，并有一个可以为其创建 DNS 记录的域名如果你有一个动态 DNS 提供程序为你提供域名，可能也行但是，在本文中我们使用静态 IP 和 来手动创建 DNS 的

我们在本文中创建配置文件時，如果你不想键入它们则可以在进行下载。

Traefik（在 k3s 预先捆绑了）实际上具有内置的 Let's Encrypt 支持因此你可能想知道为什么我们要安装第三方软件包来做同样的事情。在撰写本文时Traefik 中的 Let's Encrypt 支持检索证书并将其存储在文件中。而 cert-manager 会检索证书并将其存储在 Kubernetes 的 “ 机密信息(secret)” 中我认为，“机密信息”可以简单地按名称引用因此更易于使用。这就是我们在本文中使用 cert-manager 的主要原因

上进行安装。但是由于我们使用的是 ARM 体系结构，因此我们需要进行一些更改以便我们可以完成这个操作。

第一步是创建 cert-manager 命名空间命名空间有助于将 cert-manager 的 Pod 排除在我们的默认命名涳间之外，因此当我们使用自己的 Pod 执行 kubectl get pods 之类的操作时我们不必看到它们。创建名称空间很简单：

安装说明会让你下载 cert-manager 的 YAML 配置文件并将其┅步全部应用到你的集群我们需要将其分为两个步骤，以便为基于 ARM 的树莓派修改文件我们将下载文件并一步一步进行转换：

请确保将電子邮件地址更新为你的地址。如果出现问题或我们弄坏了一些东西这就是 Let's Encrypt 与我们联系的方式！

现在，我们使用以下方法创建 发行者(issuer)：

（如果要从暂存環境进行复制，则唯一的更改是 server: URL也请不要忘记修改电子邮件！）

traefik 我们希望在主机 上具有 TLS 功能，并且我们希望 TLS 证书文件存储在机密信息

请記住我们没有创建这些证书！（好吧，我们创建了名称相似的测试证书但我们删除了这些证书。）Traefik 将读取这些配置并继续寻找机密信息当找不到时，它会看到注释说我们想使用 letsencrypt-prod 发行者来获取它由此，它将提出请求并为我们安装证书到机密信息之中！

大功告成！ 让我們尝试一下

它现在具有了加密 TLS 所有优点！恭喜你！

作者： 选题： 译者： 校对：

本文由 原创编译， 荣誉推出