使用 certmanager-issuer 进行 CertManager Issuer 创建
- Tier: 基础版, 专业版, 旗舰版
- Offering: 私有化部署
这个 chart 是 Jetstack's CertManager Helm chart 的辅助工具。它会自动创建一个 Issuer 对象,当请求极狐GitLab Ingresses 的 TLS 证书时,CertManager 会使用该对象。
配置
我们在下面描述了配置的所有主要部分。在从父 chart 配置时,这些值是:
yaml1certmanager-issuer: 2 # Configure an ACME Issuer in cert-manager. Only used if global.ingress.configureCertmanager is true. 3 server: https://acme-v02.api.letsencrypt.org/directory 4 5 # Provide an email to associate with your TLS certificates 6 # email: 7 8 rbac: 9 create: true 10 11 resources: 12 requests: 13 cpu: 50m 14 15 # Priority class assigned to pods 16 priorityClassName: "" 17 18 common: 19 labels: {}
安装参数
此表包含所有可以通过 --set 标志提供给 helm install 命令的 chart 配置:
| 参数 | 默认值 | 描述 |
|---|---|---|
| server | https://acme-v02.api.letsencrypt.org/directory | 用于 ACME CertManager Issuer 的 Let's Encrypt 服务器。 |
| 您必须提供一个电子邮件地址来与您的 TLS 证书关联。Let's Encrypt 使用此地址联系您有关即将到期的证书和与您的账户相关的问题。 | ||
| rbac.create | true | 当为 true 时,创建与 RBAC 相关的资源以允许对 CertManager Issuer 对象进行操作。 |
| resources.requests.cpu | 50m | Issuer 创建作业所请求的 CPU 资源。 |
| common.labels | 应用于 ServiceAccount、Job、ConfigMap 和 Issuer 的通用标签。 | |
| priorityClassName | 分配给 pod 的 优先级类。 | |
| containerSecurityContext | 覆盖启动 Certmanager 的容器 securityContext。 | |
| containerSecurityContext.runAsUser | 65534 | 容器应在其下运行的用户 ID |
| containerSecurityContext.runAsGroup | 65534 | 容器应在其下运行的群组 ID |
| containerSecurityContext.allowPrivilegeEscalation | false | 控制一个进程是否可以获得比其父进程更多的权限 |
| containerSecurityContext.runAsNonRoot | true | 控制容器是否以非 root 用户运行 |
| containerSecurityContext.capabilities.drop | [ "ALL" ] | 移除容器的 Linux 能力 |
| ttlSecondsAfterFinished | 1800 | 控制完成的作业何时有资格进行级联删除。 |