У модуля нет обязательных настроек.
Модуль включен по умолчанию в наборах модулей: Default, Managed.
Модуль выключен по умолчанию в наборе модулей Minimal.
Модуль настраивается с помощью custom resource ModuleConfig с именем cert-manager (подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/cert-manager для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: cert-manager
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- cleanupOrphanSecretsбулевый
Удалять секрет с сертификатом автоматически, если соответствующий ресурс Certificate удален из кластера.
По умолчанию:
falseПримеры:
cleanupOrphanSecrets: truecleanupOrphanSecrets: false - cloudDNSServiceAccountстрока
Service Account для Google Cloud из того-же проекта с ролью Администратора DNS.
Пример:
cloudDNSServiceAccount: eyJzYSI6ICJhYmNkZWZnaEBzZXJ2aWNlYWNjb3VudC5jb20iLCAicHJvamVjdF9pZCI6ImFhYWFhIn0= - cloudflareAPITokenстрока
API Tokens позволяют использовать ключи, привязанные к определенным DNS зонам.
API Tokens are recommended for higher security, since they have more restrictive permissions and are more easily revocable. Рекомендуется использовать API Tokens для более высокой безопасности, поскольку они имеют более строгие разрешения и могут быть легко отозваны.
Способ проверки того, что домены указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-managerу DNS провайдера Cloudflare. Проверка происходит добавлением специальных TXT записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareAPIToken: token - cloudflareEmailстрока
Почтовый ящик проекта, на который выдавались доступы для управления Cloudflare.
Пример:
cloudflareEmail: example@example.com - cloudflareGlobalAPIKeyстрока
Cloudflare Global API key для управления DNS записями.
Способ проверки того, что домены указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-managerу DNS провайдера Cloudflare. Проверка происходит добавлением специальных TXT записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareGlobalAPIKey: key - digitalOceanCredentialsстрока
Access Token от Digital Ocean API, который можно создать в разделе
API.Пример:
digitalOceanCredentials: creds - disableLetsencryptбулевый
Не создавать ClusterIssuer
letsencryptиletsencrypt-stagingв кластере (еслиtrue).Примеры:
disableLetsencrypt: truedisableLetsencrypt: false - emailстрока
Почтовый ящик проекта, на который LetsEncrypt будет слать уведомления.
Пример:
email: example@example.com - nodeSelectorобъект
Структура, аналогичная
spec.nodeSelectorKubernetes pod.Если ничего не указано или указано
false— будет использоваться автоматика.Пример:
nodeSelector: has-gpu: 'true' - route53AccessKeyIDстрока
Access Key ID пользователя с необходимыми правами.
Amazon Route53 IAM Policy для управления доменными записями домена.
Пример:
route53AccessKeyID: key_id - route53SecretAccessKeyстрока
Secret Access Key пользователя с необходимыми правами для управления доменными записями домена.
Пример:
route53SecretAccessKey: secret - tolerationsмассив объектов
Структура, аналогичная
spec.tolerationsв Kubernetes Pod.Если ничего не указано или указано
false— будет использоваться автоматика.Пример:
tolerations: - key: dedicated.deckhouse.io operator: Equal value: cert-manager- tolerations.effectстрока
- tolerations.keyстрока
- tolerations.operatorстрока
- tolerations.tolerationSecondsцелочисленный
- tolerations.valueстрока