Устанавливает надежную и высокодоступную инсталляцию cert-manager release v1.16.1.
При установке модуля автоматически учитываются особенности кластера:
- компонент (webhook), к которому обращается
kube-apiserver
, устанавливается на master-узлы; - в случае недоступности webhook’а производится временное удаление
apiservice
, чтобы недоступность cert-manager не блокировала работу кластера.
Обновление самого модуля происходит в автоматическом режиме, в том числе с миграцией ресурсов cert-manager.
Возможности модуля cert-manager (с учетом внесенных изменений)
Модуль обеспечивает использование всех возможностей оригинального cert-manager, в том числе:
- заказ сертификатов во всех поддерживаемых источниках, таких как Let’s Encrypt, HashiCorp Vault, Venafi;
- выпуск самоподписанных сертификатов;
- поддержку актуальности сертификатов, автоматический перевыпуск и т. д.
Изменения в оригинальный cert-manager были внесены, чтобы поды cm-acme-http-solver
могли выполняться на master-узлах и выделенных узлах.
Мониторинг
Модуль обеспечивает экспорт метрик в Prometheus, что позволяет мониторить:
- срок действия сертификатов;
- корректность перевыпуска сертификатов.
Роли доступа к ресурсам
В модуле предопределены несколько продуманных ролей для удобного доступа к ресурсам:
User
– доступ на чтение к ресурсам Certificate и Issuer в доступных ему namespace, а также к глобальным ClusterIssue;Editor
– управление ресурсами Certificate и Issuer в доступных ему namespace;ClusterEditor
– управление ресурсами Certificate и Issuer в любых namespace;SuperAdmin
– управление внутренними служебными объектами.