https://blog.tomokon.net/tags/cloudflare/ Recent content in Cloudflare on Tomofumi Kondo Hugo -- gohugo.io ja-jp Thu, 02 Apr 2026 23:11:28 +0900 https://blog.tomokon.net/posts/envoy-gateway-cert-manager/ Thu, 02 Apr 2026 23:11:28 +0900 https://blog.tomokon.net/posts/envoy-gateway-cert-manager/ <h2 id="1-はじめに">1. はじめに</h2> <p>みなさん、Kubernetes クラスターの証明書管理してますか？</p> <p><a href="https://blog.tomokon.net/posts/envoy-gateway-argocd-https/">前回の記事</a>では、Envoy Gateway を使って argocd-server に HTTPS でアクセスする環境を構築しました。 その際、証明書は Ansible で自己署名の CA/Server 証明書を作成して Kubernetes Secret に登録するという方法を取っていたのですが、 記事の最後に「もしかしたら cert-manager とかを使った方が楽だったかもしれませんが、終わってから気づきました&hellip;」と書いていました。</p> <p>というわけで今回は、<strong>cert-manager</strong> を使って <strong>Let&rsquo;s Encrypt</strong> の証明書を <strong>Cloudflare DNS01 チャレンジ</strong> で自動発行・更新する方法を紹介します。 これにより、自己署名証明書からの脱却と、証明書の自動更新を実現します。</p> <h2 id="2-cert-manager-について">2. cert-manager について</h2> <p><a href="https://cert-manager.io/">cert-manager</a> は、Kubernetes クラスター内で TLS 証明書の発行・更新を自動化してくれるツールです。 Let&rsquo;s Encrypt などの ACME 対応の CA（認証局）と連携して、証明書のライフサイクルを自動で管理してくれます。</p> <p>証明書の発行には ACME プロトコルを使用しますが、ドメインの所有を証明するためのチャレンジ方法がいくつかあります。 今回は <strong>DNS01 チャレンジ</strong> を使います。 DNS01 チャレンジは、ドメインの DNS レコードに特定の TXT レコードを追加することでドメインの所有を証明する方法です。</p> <h2 id="3-前提環境">3. 前提環境</h2> <ul> <li><strong>Kubernetes クラスター</strong>: 自宅サーバー上の環境（kubeadm + OVN-Kubernetes）</li> <li><strong>Envoy Gateway</strong>: v1.5.0（<a href="https://blog.tomokon.net/posts/envoy-gateway-argocd-https/">前回の記事</a>でインストール済み）</li> <li><strong>ドメイン管理</strong>: Cloudflare（<code>home.tomokon.net</code>）</li> <li><strong>cert-manager</strong>: v1.18.2</li> </ul> <p>Envoy Gateway の GatewayClass や Gateway リソースは前回の記事で作成済みの前提で進めます。</p>