Runbook: cert-manager webhook timeout v K3s

Vytvorené: 25. 8. 2025 20:02 Aktualizované: 27. 8. 2025 13:14
Vyriešené
Obsah článku
title: "Runbook: cert-manager webhook timeout v K3s"
slug: "k3s-cert-manager-webhook-timeout-runbook"
technologies: ["K3s", "Kubernetes", "cert-manager", "Traefik"]
tags: ["troubleshooting", "tls", "webhook", "ingress", "traefik"]
date_solved: "2025-08-24"

Projekt/Téma: Runbook: cert-manager webhook timeout v K3s

  1. Cieľ / Problém na vyriešenie: Diagnostika a odstránenie chyby failed calling webhook "webhook.cert-manager.io": context deadline exceeded.

  2. Použité technológie a nástroje: Kubectl, cert-manager logs, APIService health, Ingress vs IngressRoute.

  3. Kľúčové postupy a konfiguračné kroky:

  • Over pod-y a logy webhooku:

    kubectl -n cert-manager get pods
kubectl -n cert-manager logs deploy/cert-manager-webhook

  • Over APIService Ready:

    kubectl get apiservices | grep cert-manager

  • Over issuers/certificaterequests:

    kubectl get clusterissuer
kubectl get certificaterequests.cert-manager.io -A
  • Ak sa používa Traefik IngressRoute + samostatný Certificate, zvážiť migráciu na štandardný Ingress s anotáciami cert-manager.

  1. Výsledné kódy a skripty: N/A (runbook je postup, kódy viď konkrétne manifesty v ostatných blokoch).

  2. Zistené problémy a riešenia (Gotchas):

  • Problém: Neštandardný CRD (IngressRoute) bráni korektnej interakcii s webhookom. Riešenie: Použiť Ingress (networking.k8s.io/v1) a anotácie pre ACME.
  • Problém: Deprecation kubernetes.io/ingress.class. Riešenie: spec.ingressClassName.
  1. Finálny výsledok / Záver: Stabilné vystavovanie certifikátov; žiadne time-outy pri apply, jednotný spôsob publikovania služieb.
Vyriešené: 24. 8. 2025
ID článku: 152