我有一个ClusterIssuer,它需要secretName
,我在ClusterIssuer
spec
中看到,我可以指定secretName
:
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: postgres-operator-ca-certificate-cluster-issuer
spec:
ca:
secretName: postgres-operator-ca-certificate # <---- Here
但是如何提供对秘密命名空间的引用呢?这个秘密是使用Certificate
:创建的
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: postgres-operator-self-signed-ca-certificate
namespace: postgres # <---- This namespace can not be changed to cert-manager
spec:
isCA: true
commonName: postgres-operator-ca-certificate
secretName: postgres-operator-ca-certificate
issuerRef:
name: postgres-operator-selfsigned-clusterissuer
kind: ClusterIssuer
由于这是namespaced
,是否建议使用Issuer
而不是ClusterIssuer
?默认情况下,ClusterIssuer
是否在cert-manager
命名空间中查找?
通常默认情况下,它会在名称空间cert-manager
中查找机密。证书管理器安装可以使用--cluster-resource-namespace
参数更改它在哪个命名空间中查找,但不能由单个ClusterIssuer更改。
来自文件:
如果引用是集群范围的资源(例如ClusterIssuer(,引用引用的是中具有给定名称的资源已配置的"群集资源命名空间",它被设置为上的标志控制器组件(并且默认为证书管理器运行(。
https://cert-manager.io/docs/reference/api-docs/#meta.cert-manager.io/v.1LocalObjectReference