cert-manager コンポーネントの設定

cert-manager コンポーネントを設定するには、CLI フラグまたは構成ファイルを使用できます。CLI フラグは構成ファイルよりも優先されます。

CLIフラグ

各コンポーネントで使用可能なCLIフラグの概要は、以下のページに記載されています。

cert-manager コントローラー: controller CLI フラグ
cert-manager webhook: webhook CLI フラグ
cert-manager cainjector: cainjector CLI フラグ
cert-manager acmesolver: acmesolver CLI フラグ
cert-manager cmctl: cmctl CLI フラグ

Helmチャートを使用する場合、CLIフラグは extraArgs、webhook.extraArgs、cainjector.extraArgs、acmesolver.extraArgs の値で指定できます。

設定ファイル

設定ファイルは、cert-managerコンポーネントの設定を含むYAMLファイルです。設定ファイルは、--config CLIフラグを使用して指定できます。Helmチャートを使用する場合、設定ファイルは config および webhook.config の値で指定できます。

コントローラー設定ファイル

webhook設定APIドキュメントは、ControllerConfigurationページにあります。

以下は、コントローラーコンポーネントの設定ファイルの例です。

apiVersion: controller.config.cert-manager.io/v1alpha1
kind: ControllerConfiguration

logging:
  verbosity: 2
  format: text

leaderElectionConfig:
  namespace: my-namespace

kubernetesAPIQPS: 10
kubernetesAPIBurst: 50

numberOfConcurrentWorkers: 200

enableGatewayAPI: true

featureGates:
  AdditionalCertificateOutputFormats: true
  ExperimentalCertificateSigningRequestControllers: true
  ServerSideApply: true
  LiteralCertificateSubject: true
  UseCertificateRequestBasicConstraints: true
  OtherNames: true
  NameConstraints: true
  UseDomainQualifiedFinalizer: true

注: これはあくまで例として含まれており、デフォルト設定として使用することを意図したものではありません。

Webhook設定ファイル

webhook設定APIドキュメントは、WebhookConfigurationページにあります。

以下は、webhookコンポーネントの設定ファイルの例です。

apiVersion: webhook.config.cert-manager.io/v1alpha1
kind: WebhookConfiguration

logging:
  verbosity: 2
  format: text

securePort: 6443
healthzPort: 6080

featureGates:
  AdditionalCertificateOutputFormats: true
  LiteralCertificateSubject: true
  OtherNames: true
  NameConstraints: true

注: これはあくまで例として含まれており、デフォルト設定として使用することを意図したものではありません。

フィーチャーゲート

フィーチャーゲートは、cert-managerの実験的な機能を有効または無効にするために使用できます。

フィーチャーゲートには2つのレベルがあります（詳細については、Kubernetesのフィーチャーステージの定義を参照してください）。

Alpha: 機能はまだ安定しておらず、将来削除または変更される可能性があります。Alpha機能はデフォルトで無効になっており、（機能をテストするために）ユーザーが明示的に有効にする必要があります。
Beta: 機能はほぼ安定していますが、将来変更される可能性があります。Beta機能はデフォルトで有効になっており、（問題が発生した場合）ユーザーが無効にできます。

各cert-managerコンポーネントには、独自のフィーチャーゲートのセットがあります。これらは、--feature-gatesフラグまたは、設定ファイル内のfeatureGatesの値を使用して有効/無効にできます。各コンポーネントで使用可能なフィーチャーゲートは、以下のページに記載されています。

cert-managerコントローラー: コントローラーのフィーチャーゲート
cert-manager webhook: webhookのフィーチャーゲート
cert-manager cainjector: cainjectorのフィーチャーゲート