Устанавливает надежную и высокодоступную инсталляцию cert-manager cert-manager v1.6.1.
При установке модуля автоматически учитываются особенности кластера:
- компонент (webhook), к которому обращается
kube-apiserver, устанавливается на мастер узлы; - в случае недоступности webhook – производится временное удаление
apiservice, чтобы недоступность cert-manager не блокировала работу кластера.
Обновление самого модуля происходит в автоматическом режиме, в том числе с миграцией ресурсов cert-manager.
Возможности модуля cert-manager (с учетом внесенных изменений)
Модуль обеспечивает использование всех возможностей оригинального cert-manager, в том числе:
- Заказ сертификатов во всех поддерживаемых источниках, таких как Let’s Encrypt, HashiCorp Vault, Venafi;
- Выпуск самоподписанных сертификатов;
- Поддержку актуальности сертификатов, автоматический перевыпуск и т.д.
Изменения в оригинальный cert-manager были внесены, чтобы Pod’ы cm-acme-http-solver могли выполняться на master-узлах и выделенных узлах.
Мониторинг
Модуль обеспечивает экспорт метрик в Prometheus, что позволяет мониторить:
- срок действия сертификатов;
- корректность перевыпуска сертификатов.
Роли доступа к ресурсам
В модуле предопределены несколько продуманных ролей для удобного доступа к ресурсам:
User– доступ на чтение к ресурсам Certificate и Issuer в доступных ему namespace, а также к глобальным clusterIssueEditor– управление ресурсами Certificate и Issuer в доступных ему namespaceClusterEditor– управление ресурсами Certificate и Issuer в любых namespaceSuperAdmin– управление внутренними служебными объектами