企业官网建设流程全解析

Let’s Encrypt是一个免费的、自动化的、开放的 SSL/TLS 证书颁发机构（CA，Certificate Authority）。

它解决的问题很简单：

让网站能够使用 HTTPS 加密通信，而不用花钱购买证书。

---

没有 Let’s Encrypt 之前

以前部署网站：

1. 向证书机构购买 SSL 证书
2. 提交域名验证资料
3. 下载证书
4. 手动安装到 Nginx / Apache
5. 每年续费

过程比较麻烦，而且通常要收费。

---

Let’s Encrypt 出现后

只需要证明：

“这个域名是我的”

Let’s Encrypt 就会免费签发证书。

例如：

api.example.com

验证通过后获得：

fullchain.pem privkey.pem

然后配置：

ssl_certificate fullchain.pem; ssl_certificate_key privkey.pem;

浏览器就能显示：

https://api.example.com 🔒 安全连接

---

在 Kubernetes 中怎么用

你的截图里有：

gateway/cert-issuer.yaml

内容：

Let's Encrypt staging + prod ClusterIssuer

这通常意味着使用：

cert-manager

Kubernetes 最常见的自动证书管理方案。

架构：

Internet │ ▼ Kong Ingress │ ▼ cert-manager │ ▼ Let's Encrypt

工作流程：

创建 Ingress │ ▼ cert-manager发现需要证书 │ ▼ 向Let's Encrypt申请 │ ▼ 自动验证域名 │ ▼ 生成TLS Secret │ ▼ Kong自动加载证书

最终：

https://api.xxx.com https://auth.xxx.com https://app.xxx.com

全部自动获得 HTTPS。

---

staging 和 prod 是什么

你截图中的：

Let's Encrypt staging + prod ClusterIssuer

一般会定义两个 Issuer：

Staging（测试环境）

server:https://acme-staging-v02.api.letsencrypt.org/directory

特点：

• 不限申请次数
• 证书不受浏览器信任
• 用于调试

浏览器会提示：

Your connection is not private

这是正常的。

---

Production（生产环境）

server:https://acme-v02.api.letsencrypt.org/directory

特点：

• 真正可用
• 浏览器信任
• 有申请频率限制

获得的证书就是正式 HTTPS 证书。

---

为什么 Kubernetes 项目几乎都用它

原因很简单：

方案	成本	自动续期	Kubernetes集成
商业SSL	收费	通常手动	一般
Let’s Encrypt	免费	自动	非常好

所以现在 Kubernetes 的标准组合几乎是：

Kong / Nginx Ingress + cert-manager + Let's Encrypt

你现在这个架构里的cert-issuer.yaml，本质上就是：

定义 cert-manager 如何向 Let’s Encrypt 申请和续期 HTTPS 证书。

这是目前 Kubernetes 公网服务部署中最主流、最接近事实标准（de facto standard）的 HTTPS 方案。