cert-manager
Security-as-Code
Automatyczne certyfikaty TLS w Kubernetes — deklaratywnie (CRD).
cert-manager automatyzuje wydawanie i odnawianie certyfikatów TLS w Kubernetes. Certyfikaty i ich źródła (Let’s Encrypt/ACME, własne CA, Vault) opisujesz jako obiekty Kubernetes (CRD), a kontroler dba o ich pozyskanie, montowanie w sekretach i odnawianie przed wygaśnięciem. TLS staje się deklaratywnym, samonaprawiającym się elementem klastra.
Kiedy używać
- Chcesz automatycznego, odnawialnego TLS dla usług w Kubernetes.
- Wydajesz certyfikaty z ACME (wildcard przez DNS-01) lub własnego CA.
- Zależy Ci na certyfikatach „as-code” zamiast ręcznego zarządzania.
Przykład użycia
apiVersion: cert-manager.io/v1
kind: Certificate
metadata: { name: eiac-tls, namespace: web }
spec:
secretName: eiac-tls
dnsNames: ["eiac.dev", "www.eiac.dev"]
issuerRef: { name: letsencrypt, kind: ClusterIssuer }
Warto wiedzieć
- Poza klastrem podobną rolę pełni lego (ACME CLI/biblioteka).
- Integruje DNS-01 z dziesiątkami dostawców DNS (też przez external-dns).