oceanbase/cert-manager-cainjector Docker 镜像 - 轩辕镜像

cert-manager-cainjector 镜像文档

概述

本镜像为 quay.io/jetstack/cert-manager-cainjector 的镜像，是cert-manager项目的核心组件之一。cert-manager是Kubernetes环境中主流的证书管理工具，而cainjector专注于CA（证书颁发机构）证书的自动化注入与管理，通过与cert-manager协同工作，确保Kubernetes资源（如Secret、ConfigMap）能动态获取并更新CA证书，简化集群内TLS信任配置流程。

核心功能与特性

• 自动CA证书注入：监控cert-manager管理的CA证书资源（如Certificate、Issuer），当证书更新或创建时，自动将CA证书注入到指定的Kubernetes资源中。
• 多资源类型支持：支持将CA证书注入到Kubernetes Secret、ConfigMap等多种资源，满足不同应用的证书获取需求（如通过Secret挂载或ConfigMap配置引用）。
• 与cert-manager深度集成：作为cert-manager生态的一部分，无缝对接cert-manager的证书生命周期管理流程，支持证书自动轮换时的同步更新。
• 声明式配置：基于Kubernetes API对象（如CertificateInjector）声明注入规则，符合Kubernetes声明式管理理念，配置简洁可维护。

使用场景与适用范围

• Kubernetes集群CA信任管理：适用于需要在集群内统一管理CA证书信任的场景，确保各应用组件能自动获取并信任集群根CA。
• 微服务TLS通信：在微服务架构中，用于自动注入服务间通信所需的CA证书，简化微服务间TLS加密配置（如gRPC、HTTPs通信的信任根配置）。
• 动态证书更新场景：当CA证书因过期、轮换等原因更新时，自动同步至依赖资源，避免手动更新证书导致的服务中断。
• 证书自动化运维：减少人工干预证书分发的操作，降低因证书配置遗漏或延迟导致的安全风险。

使用方法与配置说明

基本部署方式

cainjector通常通过Kubernetes Deployment部署，需与cert-manager主组件（如cert-manager-controller）配合使用。典型部署清单示例如下：

yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: cert-manager-cainjector
  namespace: cert-manager  # 建议与cert-manager同命名空间
  labels:
    app: cert-manager-cainjector
spec:
  replicas: 1
  selector:
    matchLabels:
      app: cert-manager-cainjector
  template:
    metadata:
      labels:
        app: cert-manager-cainjector
    spec:
      containers:
      - name: cainjector
        image: [镜像地址]  # 替换为实际的镜像镜像地址（如私有仓库中的镜像地址）
        args:
          - --v=2  # 日志级别（1-6，数值越高越详细）
          - --leader-election-namespace=cert-manager  # Leader选举命名空间，需与cert-manager一致
          - --metrics-addr=:9443  # 指标暴露端口
          - --healthz-addr=:9444  # 健康检查端口
        resources:
          requests:
            cpu: 50m
            memory: 64Mi
          limits:
            cpu: 100m
            memory: 128Mi
        livenessProbe:
          httpGet:
            path: /healthz
            port: 9444
            scheme: HTTP
          initialDelaySeconds: 60
          periodSeconds: 10
        readinessProbe:
          httpGet:
            path: /readyz
            port: 9444
            scheme: HTTP
          initialDelaySeconds: 5
          periodSeconds: 5

核心配置参数

cainjector通过命令行参数或环境变量进行配置，关键参数说明如下：

依赖与前置条件

• Kubernetes环境：需运行Kubernetes集群（版本≥1.19，与cert-manager最低版本要求匹配）。
• cert-manager主组件：需已部署cert-manager核心组件（如cert-manager-controller、cert-manager-webhook），且版本与cainjector镜像版本一致（避免版本兼容性问题）。
• RBAC权限配置：需为cainjector配置操作Kubernetes资源的RBAC权限，包括对secrets、configmaps、certificates等资源的增删改查权限（具体权限清单可参考cert-manager官方部署文档）。

注意事项

• 版本兼容性：需使用与cert-manager主版本匹配的cainjector镜像版本（如cert-manager v1.14.x对应cainjector v1.14.x），避免因版本不匹配导致功能异常。
• 镜像来源：作为quay.io/jetstack/cert-manager-cainjector的镜像，建议通过官方渠道同步镜像，确保镜像完整性与安全性。
• 资源配置：根据集群规模调整CPU/内存资源限制，小规模集群可使用默认配置（50m CPU/64Mi内存），大规模集群建议适当提升。
• 高级配置：如需自定义注入规则（如指定注入的证书字段、资源标签筛选等），可参考cert-manager官方文档中关于CertificateInjector的配置说明。