Red Hat Summit10.5. CertManager 사용자 정의 리소스를 사용하여 cert-manager Operator 사용자 정의
Red Hat OpenShift용 cert-manager Operator를 설치한 후 CertManager CR(사용자 정의 리소스)을 구성하여 다음 작업을 수행할 수 있습니다.
- cert-manager 컨트롤러, CA 인젝터, Webhook와 같은 cert-manager 구성 요소의 동작을 수정하도록 인수를 구성합니다.
- 컨트롤러 Pod의 환경 변수를 설정합니다.
- CPU 및 메모리 사용량을 관리하기 위해 리소스 요청 및 제한을 정의합니다.
- 클러스터에서 Pod가 실행되는 위치를 제어하도록 스케줄링 규칙을 구성합니다.
CertManager CR YAML 파일의 예
apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
name: cluster
spec:
controllerConfig:
overrideArgs:
- "--dns01-recursive-nameservers=8.8.8.8:53,1.1.1.1:53"
overrideEnv:
- name: HTTP_PROXY
value: http://proxy.example.com:8080
overrideResources:
limits:
cpu: "200m"
memory: "512Mi"
requests:
cpu: "100m"
memory: "256Mi"
overrideScheduling:
nodeSelector:
custom: "label"
tolerations:
- key: "key1"
operator: "Equal"
value: "value1"
effect: "NoSchedule"
overrideReplicas: 2
#...
webhookConfig:
overrideArgs:
#...
overrideResources:
#...
overrideScheduling:
#...
overrideReplicas:
#...
cainjectorConfig:
overrideArgs:
#...
overrideResources:
#...
overrideScheduling:
#...
overrideReplicas:
#...
지원되지 않는 인수를 재정의하려면 CertManager 리소스에 spec.unsupportedConfigOverrides 섹션을 추가할 수 있지만 spec.unsupportedConfigOverrides 를 사용하는 것은 지원되지 않습니다.
10.5.1. CertManager 사용자 정의 리소스의 필드에 대한 설명
Red Hat OpenShift 용 cert-manager Operator의 핵심 구성 요소를 구성하려면 CertManager CR(사용자 정의 리소스)을 사용합니다. spec.controllerConfig 필드와 같은 cert-manager 컨트롤러의 설정을 정의하여 배포를 사용자 지정할 수 있습니다.
cert-manager Operator for Red Hat OpenShift의 핵심 구성 요소는 다음과 같습니다.
-
cert-manager 컨트롤러:
spec.controllerConfig필드를 사용하여 cert-manager 컨트롤러 Pod를 구성할 수 있습니다. -
Webhook:
spec.webhookConfig필드를 사용하여 검증 및 변경 요청을 처리하는 Webhook Pod를 구성할 수 있습니다. -
CA injector:
spec.cainjectorConfig필드를 사용하여 CA 인젝터 Pod를 구성할 수 있습니다.
10.5.1.1. cert-manager 구성 요소에 대한 CertManager CR의 구성 가능한 일반적인 필드
다음 표에는 CertManager CR의 spec.controllerConfig,spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 구성할 수 있는 일반 필드가 나열되어 있습니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
| cert-manager 구성 요소에 대해 지원되는 인수를 덮어쓸 수 있습니다. |
|
|
| cert-manager 컨트롤러에 대해 지원되는 환경 변수를 덮어쓸 수 있습니다. 이 필드는 cert-manager 컨트롤러 구성 요소에 대해서만 지원됩니다. |
|
|
|
cert-manager 구성 요소에 대한 복제본을 구성할 수 있습니다. 기본값은
자세한 내용은 고가용성 을 참조하십시오. |
|
|
| cert-manager 구성 요소에 대한 CPU 및 메모리 제한을 구성할 수 있습니다. |
|
|
| cert-manager 구성 요소에 대한 Pod 예약 제약 조건을 구성할 수 있습니다. |
10.5.1.2. cert-manager 구성 요소에 대한 덮어쓰기 가능 인수
CertManager CR의 spec.controllerConfig,spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소에 대해 덮어쓸 수 있는 인수를 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대해 덮어쓸 수 있는 인수를 설명합니다.
| 인수 | Component | 설명 |
|---|---|---|
|
| 컨트롤러 |
DNS-01 자체 검사를 쿼리할 쉼표로 구분된 이름 서버 목록을 제공합니다. 네임서버는 < 참고 DoH(DNS over HTTPS)는 cert-manager Operator for Red Hat OpenShift 버전 1.13.0 이상에서만 지원됩니다. |
|
| 컨트롤러 | 해당 도메인과 연결된 권한 있는 이름 서버를 확인하는 대신 재귀 이름 서버만 사용하도록 지정합니다. |
|
| 컨트롤러 |
쉼표로 구분된 < |
|
| 컨트롤러 |
지표 끝점의 호스트 및 포트를 지정합니다. 기본값은 |
|
| 컨트롤러 | 이 인수를 사용하여 앰비언트 인증 정보를 사용하여 DNS-01 문제를 해결하기 위해 ACME 발행자를 구성할 수 있습니다. |
|
| 컨트롤러 | 이 인수는 인증서 리소스를 TLS 인증서가 저장된 보안의 소유자로 설정합니다. 자세한 내용은 "인증서 제거 시 자동으로 TLS 시크릿 삭제"를 참조하십시오. |
|
| 컨트롤러 |
ACME HTTP-01 솔버 Pod의 최대 CPU 제한을 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP-01 솔버 Pod의 최대 메모리 제한을 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP-01 솔버 Pod의 최소 CPU 요청을 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP-01 솔버 Pod에 대한 최소 메모리 요청을 정의합니다. 기본값은 |
|
| 컨트롤러 |
인증서 요청의 최소 백오프 기간을 지정합니다. 기본값은 |
|
| 컨트롤러, Webhook, CA 인젝터 | 로그 수준 상세 수준을 지정하여 로그 메시지의 상세 수준을 확인합니다. |
10.5.1.3. cert-manager 컨트롤러에 대한 Overridable 환경 변수
CertManager CR의 spec.controllerConfig.overrideEnv 필드에서 cert-manager 컨트롤러에 대해 덮어쓸 수 있는 환경 변수를 구성할 수 있습니다.
다음 표에서는 cert-manager 컨트롤러에 대해 덮어쓸 수 있는 환경 변수를 설명합니다.
| 환경 변수 | 설명 |
|---|---|
|
| 발신 HTTP 요청에 대한 프록시 서버입니다. |
|
| 발신 HTTPS 요청을 위한 프록시 서버입니다. |
|
| 프록시를 바이패스하는 쉼표로 구분된 호스트 목록입니다. |
10.5.1.4. cert-manager 구성 요소에 대한 Overridable 리소스 매개변수
CertManager CR의 spec.controllerConfig,spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소에 대한 CPU 및 메모리 제한을 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대해 덮어쓸 수 있는 리소스 매개변수를 설명합니다.
| 필드 | 설명 |
|---|---|
|
| 구성 요소 Pod에서 사용할 수 있는 최대 CPU 양을 정의합니다. |
|
| 구성 요소 Pod에서 사용할 수 있는 최대 메모리 양을 정의합니다. |
|
| 구성 요소 Pod에 대해 스케줄러에서 요청하는 최소 CPU 양을 정의합니다. |
|
| 스케줄러에서 구성 요소 Pod에 대해 요청하는 최소 메모리 양을 정의합니다. |
10.5.1.5. cert-manager 구성 요소에 대한 Overridable 스케줄링 매개변수
CertManager CR의 spec.controllerConfig,spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소에 대한 Pod 예약 제한을 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대한 Pod 예약 매개변수를 설명합니다.
| 필드 | 설명 |
|---|---|
|
| Pod를 특정 노드로 제한하는 키-값 쌍입니다. |
|
| 테인트된 노드에서 Pod를 예약하기 위한 허용 오차 목록입니다. |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}