Устанавливает надежную и высокодоступную инсталляцию cert-manager cert-manager v0.10.1.

При установке модуля автоматически учитываются особенности кластера:

  • компонент (webhook), к которому обращается kube-apiserver, устанавливается на мастер узлы;
  • в случае недоступности webhook – производится временное удаление apiservice, чтобы недоступность cert-manager не блокировала работу кластера.

Обновление самого модуля происходит в автоматическом режиме, в том числе с миграцией ресурсов cert-manager.

Возможности модуля cert-manager (с учетом внесенных изменений)

Модуль обеспечивает использование всех возможностей оригинального cert-manager, в том числе:

  • Заказ сертификатов во всех поддерживаемых источниках, таких как Let’s Encrypt, HashiCorp Vault, Venafi;
  • Выпуск самоподписанных сертификатов;
  • Поддержку актуальности сертификатов, автоматический перевыпуск и т.д.

Изменения в оригинальный cert-manager были внесены, чтобы Pod’ы cm-acme-http-solver могли выполняться на мастер-узлах и выделенных узлах.

Мониторинг

Модуль обеспечивает экспорт метрик в Prometheus, что позволяет мониторить:

  • срок действия сертификатов;
  • корректность перевыпуска сертификатов.

Роли доступа к ресурсам

В модуле предопределены несколько продуманных ролей для удобного доступа к ресурсам:

  • User – доступ на чтение к ресурсам Certificate и Issuer в доступных ему namespace, а также к глобальным clusterIssue
  • Editor – управление ресурсами Certificate и Issuer в доступных ему namespace
  • ClusterEditor – управление ресурсами Certificate и Issuer в любых namespace
  • SuperAdmin – управление внутренними служебными объектами