ACM 现在支持自动为 Kubernetes 管理证书
AWS Certificate Manager(ACM)现在通过 AWS Controllers for Kubernetes(ACK)自动为 Kubernetes 工作负载预置和分发证书。以前,ACM 会自动为用程序负载均衡器和 CloudFront 等 AWS 集成服务管理证书。但是,在 Kubernetes 中使用 ACM 证书并通过应用程序终止 TLS 需要手动操作:通过 API 导出证书和私钥、创建 Kubernetes 密钥并在续订时对其进行更新。这种集成将 ACM 的自动化扩展到任何 Kubernetes 工作负载的公有和私有证书,使您能够使用原生 Kubernetes API 管理证书。
使用 ACK,您可以将证书定义为 Kubernetes 资源,ACK 控制器会自动执行完整的证书生命周期:从 ACM 请求证书,验证后将其导出,使用证书和私钥更新 Kubernetes 密钥,并在续订时自动更新这些密钥。这使您能够将 ACM 可导出的公有证书(2025 年 6 月推出)用于面向互联网的工作负载,或将 AWS 私有 CA 私有证书用于 Amazon EKS 或其他 Kubernetes 环境中的内部服务。使用案例包括终止应用程序容器组(NGINX、自定义应用程序)中的 TLS、保护服务网格通信(Istio、Linkerd)以及管理第三方入口控制器(NGINX Ingress、Traefik)的证书。您还可以将证书分发到混合与边缘 Kubernetes 环境。
此功能现已在提供 ACM 的所有商业区域、AWS GovCloud(美国)和 AWS 中国区域推出。
要了解更多信息,请访问 GitHub 链接或参阅我们的文档和定价页面。