← Katalog
E I A C

cert-manager

Security-as-Code

Automatyczne certyfikaty TLS w Kubernetes — deklaratywnie (CRD).

★ 14 000 Apache-2.0 #security#tls#certificates#kubernetes

cert-manager automatyzuje wydawanie i odnawianie certyfikatów TLS w Kubernetes. Certyfikaty i ich źródła (Let’s Encrypt/ACME, własne CA, Vault) opisujesz jako obiekty Kubernetes (CRD), a kontroler dba o ich pozyskanie, montowanie w sekretach i odnawianie przed wygaśnięciem. TLS staje się deklaratywnym, samonaprawiającym się elementem klastra.

Kiedy używać

  • Chcesz automatycznego, odnawialnego TLS dla usług w Kubernetes.
  • Wydajesz certyfikaty z ACME (wildcard przez DNS-01) lub własnego CA.
  • Zależy Ci na certyfikatach „as-code” zamiast ręcznego zarządzania.

Przykład użycia

apiVersion: cert-manager.io/v1
kind: Certificate
metadata: { name: eiac-tls, namespace: web }
spec:
  secretName: eiac-tls
  dnsNames: ["eiac.dev", "www.eiac.dev"]
  issuerRef: { name: letsencrypt, kind: ClusterIssuer }

Warto wiedzieć

  • Poza klastrem podobną rolę pełni lego (ACME CLI/biblioteka).
  • Integruje DNS-01 z dziesiątkami dostawców DNS (też przez external-dns).