Устанавливает надежную и высокодоступную инсталляцию cert-manager release v1.16.1.

При установке модуля автоматически учитываются особенности кластера:

  • компонент (webhook), к которому обращается kube-apiserver, устанавливается на master-узлы;
  • в случае недоступности webhook’а производится временное удаление apiservice, чтобы недоступность cert-manager не блокировала работу кластера.

Обновление самого модуля происходит в автоматическом режиме, в том числе с миграцией ресурсов cert-manager.

Возможности модуля cert-manager (с учетом внесенных изменений)

Модуль обеспечивает использование всех возможностей оригинального cert-manager, в том числе:

  • заказ сертификатов во всех поддерживаемых источниках, таких как Let’s Encrypt, HashiCorp Vault, Venafi;
  • выпуск самоподписанных сертификатов;
  • поддержку актуальности сертификатов, автоматический перевыпуск и т. д.

Изменения в оригинальный cert-manager были внесены, чтобы поды cm-acme-http-solver могли выполняться на master-узлах и выделенных узлах.

Мониторинг

Модуль обеспечивает экспорт метрик в Prometheus, что позволяет мониторить:

  • срок действия сертификатов;
  • корректность перевыпуска сертификатов.

Роли доступа к ресурсам

В модуле предопределены несколько продуманных ролей для удобного доступа к ресурсам:

  • User – доступ на чтение к ресурсам Certificate и Issuer в доступных ему namespace, а также к глобальным ClusterIssue;
  • Editor – управление ресурсами Certificate и Issuer в доступных ему namespace;
  • ClusterEditor – управление ресурсами Certificate и Issuer в любых namespace;
  • SuperAdmin – управление внутренними служебными объектами.