![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(102.4, 97%, 19%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EJG%3C/text%3E%3C/svg%3E)
Azure Key Vault
Servicio de Azure que se usa para administrar y proteger las claves criptográficas y otros secretos que usan las aplicaciones y los servicios en la nube.
16 preguntas
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(272, 11%, 36%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EJP%3C/text%3E%3C/svg%3E)
¡Hola!
¡Bienvenido/a a Microsoft Q&A!
Problema: No se Puede Enlazar el Certificado al Ingress de AKS
Descripción del Problema
El problema de no poder enlazar el certificado al Ingress de Azure Kubernetes Service (AKS) utilizando Azure Key Vault puede deberse a varias razones, incluyendo configuraciones incorrectas o falta de permisos adecuados. A continuación, se detallan los pasos para solucionar este problema.
Pasos para Solucionar el Problema
Configurar el SecretProviderClass:
- Descripción: Asegúrese de que el
SecretProviderClassesté configurado correctamente para acceder al certificado almacenado en Azure Key Vault. - Ejemplo:
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: azure-kvname
spec:
provider: azure
secretObjects:
- secretName: ingress-tls
type: kubernetes.io/tls
data:
- objectName: tls-cert
key: tls.crt
- objectName: tls-key
key: tls.key
parameters:
usePodIdentity: "false"
useVMManagedIdentity: "true"
userAssignedIdentityID: <your-identity-id>
keyvaultName: <your-keyvault-name>
objects: |
array:
- |
objectName: tls-cert
objectType: secret
objectVersion: ""
- |
objectName: tls-key
objectType: secret
objectVersion: ""
tenantId: <your-tenant-id>
Crear el Secreto TLS en Kubernetes:
- Descripción: Cree un secreto TLS en Kubernetes que haga referencia al certificado y la clave privada obtenidos de Azure Key Vault.
- Ejemplo:
apiVersion: v1
kind: Secret
metadata:
name: ingress-tls
namespace: default
data:
tls.crt: <base64-encoded-cert>
tls.key: <base64-encoded-key>
type: kubernetes.io/tls
Configurar el Ingress para Usar el Secreto TLS:
- Descripción: Configure el recurso Ingress para utilizar el secreto TLS creado.
- Ejemplo:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: example-ingress
annotations:
kubernetes.io/ingress.class: nginx
spec:
tls:
- hosts:
- example.com
secretName: ingress-tls
rules:
- host: example.com
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: example-service
port:
number: 80
Verificar Permisos en Azure Key Vault:
- Descripción: Asegúrese de que la identidad asignada (ya sea administrada por el sistema o asignada por el usuario) tenga los permisos adecuados para acceder a los secretos en Azure Key Vault.
- Ejemplo:
- Navegue a Azure Key Vault en el portal de Azure.
- Seleccione "Access policies" y asegúrese de que la identidad tenga permisos de "Get" y "List" para secretos.
Revisar Logs y Eventos:
- Descripción: Revise los logs y eventos del Ingress y del controlador de Ingress para identificar cualquier error específico.
- Comando:
sh kubectl describe ingress <ingress-name> -n <namespace> kubectl logs <ingress-controller-pod> -n <namespace>Referencias - Microsoft Learn: Set up Secrets Store CSI Driver to enable NGINX Ingress Controller with TLS
Espero que estos consejos ayuden a resolver el problema. Si necesitas más asistencia, estoy a tu disposición.
Saludos,
Jonathan
Tu opinión es muy importante para nosotros. Si esta respuesta resolvió tu consulta, por favor haz clic en 'SÍ'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones. ¡Gracias por tu colaboración!