У модуля нет обязательных настроек.
Модуль включен по умолчанию в наборах модулей: Default
, Managed
.
Модуль выключен по умолчанию в наборе модулей Minimal
.
Чтобы настроить модуль используйте custom resource ModuleConfig
с именем cert-manager
(подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/cert-manager
для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: cert-manager
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- cleanupOrphanSecretsбулевый
Удалять секрет с сертификатом автоматически, если соответствующий ресурс Certificate удален из кластера.
По умолчанию:
false
Примеры:
cleanupOrphanSecrets: true
cleanupOrphanSecrets: false
- cloudDNSServiceAccountстрока
Service Account для Google Cloud из того-же проекта с ролью Администратора DNS.
Пример:
cloudDNSServiceAccount: eyJzYSI6ICJhYmNkZWZnaEBzZXJ2aWNlYWNjb3VudC5jb20iLCAicHJvamVjdF9pZCI6ImFhYWFhIn0=
- cloudflareAPITokenстрока
API Tokens позволяют использовать ключи, привязанные к определенным DNS зонам.
API Tokens are recommended for higher security, since they have more restrictive permissions and are more easily revocable. Рекомендуется использовать API Tokens для более высокой безопасности, поскольку они имеют более строгие разрешения и могут быть легко отозваны.
Способ проверки того, что домены указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-manager
у DNS провайдера Cloudflare. Проверка происходит добавлением специальных TXT записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareAPIToken: token
- cloudflareEmailстрока
Почтовый ящик проекта, на который выдавались доступы для управления Cloudflare.
Пример:
cloudflareEmail: example@example.com
- cloudflareGlobalAPIKeyстрока
Cloudflare Global API key для управления DNS записями.
Способ проверки того, что домены указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-manager
у DNS провайдера Cloudflare. Проверка происходит добавлением специальных TXT записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareGlobalAPIKey: key
- digitalOceanCredentialsстрока
Access Token от Digital Ocean API, который можно создать в разделе
API
.Пример:
digitalOceanCredentials: creds
- disableLetsencryptбулевый
Не создавать ClusterIssuer
letsencrypt
иletsencrypt-staging
в кластере (еслиtrue
).Примеры:
disableLetsencrypt: true
disableLetsencrypt: false
- emailстрока
Почтовый ящик проекта, на который LetsEncrypt будет слать уведомления.
Пример:
email: example@example.com
- maxConcurrentChallengesцелочисленный
Максимальное количество одновременных Challenges в статусе
processing
Допустимые значения:
0 <= X
Пример:
maxConcurrentChallenges: 25
- nodeSelectorобъект
Структура, аналогичная
spec.nodeSelector
Kubernetes pod.Если ничего не указано или указано
false
— будет использоваться автоматика.Пример:
nodeSelector: has-gpu: 'true'
- route53AccessKeyIDстрока
Access Key ID пользователя с необходимыми правами.
Amazon Route53 IAM Policy для управления доменными записями домена.
Пример:
route53AccessKeyID: key_id
- route53SecretAccessKeyстрока
Secret Access Key пользователя с необходимыми правами для управления доменными записями домена.
Пример:
route53SecretAccessKey: secret
- tolerationsмассив объектов
Структура, аналогичная
spec.tolerations
в Kubernetes Pod.Если ничего не указано или указано
false
— будет использоваться автоматика.Пример:
tolerations: - key: dedicated.deckhouse.io operator: Equal value: cert-manager
- tolerations.effectстрока
- tolerations.keyстрока
- tolerations.operatorстрока
- tolerations.tolerationSecondsцелочисленный
- tolerations.valueстрока