У модуля нет обязательных настроек.
Модуль включен по умолчанию в наборах модулей: Default, Managed.
Модуль выключен по умолчанию в наборе модулей Minimal.
Чтобы настроить модуль, используйте custom resource ModuleConfig с именем cert-manager (подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/cert-manager для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: cert-manager
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- cleanupOrphanSecretsбулевый
Удалять Secret с сертификатом автоматически, если соответствующий ресурс Certificate удален из кластера.
По умолчанию:
falseПримеры:
cleanupOrphanSecrets: truecleanupOrphanSecrets: false - cloudDNSServiceAccountстрока
Service Account для Google Cloud из того же проекта с ролью Администратора DNS.
Пример:
cloudDNSServiceAccount: eyJzYSI6ICJhYmNkZWZnaEBzZXJ2aWNlYWNjb3VudC5jb20iLCAicHJvamVjdF9pZCI6ImFhYWFhIn0= - cloudflareAPITokenстрока
API Tokens позволяют использовать ключи, привязанные к определенным DNS-зонам.
Рекомендуется использовать API Tokens для более высокой безопасности, поскольку они имеют более строгие разрешения и могут быть легко отозваны.
Способ проверки того, что домены, указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-managerу DNS-провайдера Cloudflare. Проверка происходит путем добавления специальных TXT-записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareAPIToken: token - cloudflareEmailстрока
Почтовый ящик проекта, на который выдавались доступы для управления Cloudflare.
Пример:
cloudflareEmail: example@example.com - cloudflareGlobalAPIKeyстрока
Cloudflare Global API key для управления DNS-записями.
Способ проверки того, что домены, указанные в ресурсе Certificate, для которых заказывается сертификат, находятся под управлением
cert-managerу DNS-провайдера Cloudflare. Проверка происходит путем добавления специальных TXT-записей для домена ACME DNS01 Challenge Provider.Пример:
cloudflareGlobalAPIKey: key - digitalOceanCredentialsстрока
Access Token от Digital Ocean API, который можно создать в разделе
API.Пример:
digitalOceanCredentials: creds - disableLetsencryptбулевый
Не создавать ClusterIssuer
letsencryptиletsencrypt-stagingв кластере (еслиtrue).Примеры:
disableLetsencrypt: truedisableLetsencrypt: false - emailстрока
Почтовый ящик проекта, на который LetsEncrypt будет слать уведомления.
Пример:
email: example@example.com - enableCAInjectorбулевый
Включить CAInjector. Он необходим только для инъекции CA-сертификатов в
ValidatingWebhookConfiguration,MutatingWebhookConfiguration,CustomResourceDefinitionиAPIService. Deckhouse не использует CAInjector, поэтому включать нужно только в том случае, если вы используете в своих сервисах пользовательские инъекции CA.По умолчанию:
falseПримеры:
enableCAInjector: trueenableCAInjector: false - maxConcurrentChallengesцелочисленный
Максимальное количество одновременных Challenges в статусе
ProcessingДопустимые значения:
0 <= XПример:
maxConcurrentChallenges: 25 - nodeSelectorобъект
Структура, аналогичная
spec.nodeSelectorпода Kubernetes.Если ничего не указано или указано
false, будет использоваться автоматика.Пример:
nodeSelector: has-gpu: 'true' - route53AccessKeyIDстрока
Access Key ID пользователя с необходимыми правами.
Amazon Route53 IAM Policy для управления доменными записями домена.
Пример:
route53AccessKeyID: key_id - route53SecretAccessKeyстрока
Secret Access Key пользователя с необходимыми правами для управления доменными записями домена.
Пример:
route53SecretAccessKey: secret - tolerationsмассив объектов
Структура, аналогичная
spec.tolerationsпода Kubernetes.Если ничего не указано или указано
false, будет использоваться автоматика.Пример:
tolerations: - key: dedicated.deckhouse.io operator: Equal value: cert-manager- tolerations.effectстрока
- tolerations.keyстрока
- tolerations.operatorстрока
- tolerations.tolerationSecondsцелочисленный
- tolerations.valueстрока