개요

• cert-manager는 쿠버네티스 클러스터에 인증서와 인증서 발급자를 리소스 유형으로 추가하고, 인증서를 얻고 갱신하며 사용하는 과정을 간소화합니다.
• Let’s Encrypt(ACME), HashiCorp Vault, Venafi TPP / TLS Protect Cloud 등 다양한 소스에서 인증서를 발급받는 것을 지원하며, 로컬 클러스터 내에서의 발급도 가능합니다.
• cert-manager는 인증서가 유효하고 최신 상태를 유지하도록 보장하며, 인증서 만료 전에 적절한 시점에 갱신을 시도하여 인증 중단 위험을 줄이고 반복 작업을 제거합니다.
• cert-manager의 Certificate 리소스를 사용하면, 비밀 키와 인증서가 Kubernetes 시크릿에 저장되며, 이는 애플리케이션 파드(Pod)에 마운트되거나 Ingress 컨트롤러에 의해 사용됩니다. csi-driver, csi-driver-spiffe, 또는 istio-csr를 사용할 경우, 비밀 키는 애플리케이션이 시작되기 전에 필요할 때 생성되며, 비밀 키는 노드를 떠나지 않으며 Kubernetes 시크릿에 저장되지 않습니다.

특징

1. 자동화된 인증서 관리

• cert-manager는 인증서 발급, 갱신 및 관리를 자동화하여 수작업을 줄이고 오류를 방지합니다. 이를 통해 인증서 만료로 인한 서비스 중단을 방지할 수 있습니다.

1. 다양한 인증서 발급자 지원

• Let’s Encrypt(ACME), HashiCorp Vault, Venafi TPP / TLS Protect Cloud 등 다양한 인증서 발급 소스를 지원하며, 로컬 클러스터 내에서도 인증서를 발급할 수 있습니다.

1. Kubernetes 시크릿 통합

• 인증서와 비밀 키를 Kubernetes 시크릿으로 저장하여 애플리케이션 파드나 Ingress 컨트롤러에서 쉽게 사용할 수 있도록 합니다.

1. 온디맨드 키 생성

• csi-driver, csi-driver-spiffe, 또는 istio-csr를 사용하면, 비밀 키는 애플리케이션이 시작되기 전에 필요할 때 생성되며, 비밀 키는 노드를 떠나지 않으며 Kubernetes 시크릿에 저장되지 않습니다. 이는 보안성을 높이고 키 관리의 복잡성을 줄여줍니다.

1. 갱신 자동화

• cert-manager는 인증서의 유효성을 지속적으로 모니터링하고, 만료 전에 자동으로 갱신을 시도하여 서비스의 연속성을 보장합니다.

참조