Che cos'è il cert-manager per i cluster Kubernetes abilitati per Azure Arc (in anteprima)?

L'estensione cert-manager per kubernetes (anteprima) abilitata per Azure Arc offre una soluzione unificata e automatizzata per la gestione dei certificati TLS e dei bundle di attendibilità nei cluster connessi ad Arc. Semplifica il processo di emissione, rinnovo e gestione dei certificati in ambienti ibridi e multicloud, fornendo comunicazioni e conformità sicure con i criteri dell'organizzazione.

Importante

Cert-manager per i cluster Kubernetes abilitati per Azure Arc è attualmente disponibile in anteprima pubblica.

Vedere i Termini di utilizzo supplementari per le anteprime di Microsoft Azure che si applicano alle funzionalità di Azure in versione beta, in anteprima o non ancora disponibili per il pubblico generale.

L'estensione cert-manager per Kubernetes abilitata per Arc installa una versione supportata da Microsoft di cert-manager e trust-manager. L'uso dell'estensione cert-manager per Kubernetes con abilitazione di Arc offre i vantaggi seguenti:

  • Ciclo di vita automatizzato dei certificati: non è più necessario creare o rinnovare i certificati manuali. Usare cert-manager per rilasciare certificati per i carichi di lavoro Kubernetes o i componenti del cluster e rinnovarli prima della scadenza. Ciò riduce notevolmente il rischio di interruzioni del servizio a causa di certificati scaduti e riduce al minimo l'errore umano nella gestione dei certificati.
  • Gestione centralizzata del trust: usare trust-manager per propagare i certificati dell'autorità di certificazione (bundle di attendibilità) tra i namespace nel cluster. In questo modo tutti i pod e i servizi condividono un set coerente di certificati CA attendibili per le verifiche TLS, abilitando la comunicazione sicura da servizio a servizio senza intervento manuale.
  • Integrazione con l'infrastruttura a chiave pubblica (PKI) aziendale: l'estensione cert-manager per Kubernetes abilitato per Arc supporta sia i certificati CA autofirmati che i certificati della CA aziendale esterna. È possibile consentire la creazione di un certificato ca locale del cluster autofirmato per i certificati interni o configurarlo per richiedere i certificati dall'infrastruttura a chiave pubblica esistente dell'organizzazione, ad esempio una CA aziendale esterna o un provider ACME. Inoltre, è possibile creare un emettitore locale del cluster che sia un'autorità di certificazione autofirmata radice o un'autorità di certificazione intermedia, collegata a una chiave e un certificato ottenuti dalla propria infrastruttura a chiave pubblica aziendale. Questo può essere utile per scenari di rilascio di certificati in ambienti isolati o offline. Questa flessibilità consente di applicare i requisiti di conformità aziendali assicurandosi che tutti i certificati vengano rilasciati o concatenati a, un'autorità nota e attendibile, pur automatizzando completamente la gestione del ciclo di vita dei certificati.
  • Offline ed edge friendly: l'estensione cert-manager per Kubernetes abilitato per Arc è progettata per scenari edge. L'estensione può funzionare per un periodo anche se il cluster è temporaneamente disconnesso da Azure o reti pubbliche. Ad esempio, i certificati e le informazioni di attendibilità rimangono offline (limitati dai periodi di scadenza e rinnovo configurati), garantendo un'operazione sicura continua in scenari di connettività intermittente.
  • distribuzione supportata da Microsoft: a differenza di una distribuzione open source self-managed di cert-manager e trust-manager, questa estensione viene gestita da Microsoft come parte di Azure Arc. Quando si usa cert-manager per Kubernetes abilitato per Arc, si ricevono aggiornamenti proattivi, patch di sicurezza e supporto aziendale per i componenti cert-manager e trust-manager. Questa estensione è allineata ai modelli di sicurezza e agli standard di conformità di Azure, garantendo la tranquillità con cui la gestione dei certificati soddisfa i requisiti aziendali e normativi.

Funzionamento di cert-manager per Kubernetes abilitato per Arc

Dopo aver installato l'estensione cert-manager per Kubernetes abilitata per Arc (anteprima) nel cluster Kubernetes abilitato per Arc, Azure Arc distribuisce i servizi cert-manager e trust-manager nello spazio dei nomi cert-manager nel cluster. Questi servizi vengono eseguiti con footprint minimo e controllano continuamente risorse personalizzate che descrivono le esigenze del certificato o i bundle di attendibilità.

È possibile creare risorse personalizzate Kubernetes, ad esempio Issuer/ClusterIssuer e Certificate, per richiedere i certificati o aggregare oggetti per distribuire i certificati ca. Cert-manager collabora quindi con le autorità emittenti configurate per ottenere i certificati (ad esempio, generando una coppia di chiavi e ottenendola firmata dalla CA specificata) e archivia il certificato e la chiave risultanti in un segreto Kubernetes da usare per l'applicazione. Trust-manager raccoglierà tutte le risorse bundle e creerà le corrispondenti ConfigMap dei certificati CA negli spazi dei nomi di destinazione, gestendo automaticamente gli aggiornamenti e la propagazione.

Distribuzioni Kubernetes abilitate per Arc convalidate

La versione corrente dell'estensione cert-manager per Kubernetes abilitato per Arc (anteprima) è stata convalidata sulle seguenti distribuzioni Kubernetes abilitate per Arc:

  • Azure Kubernetes Service (AKS) abilitato da Azure Arc: v1.32.7
  • VMWare Tanzu TKGm: v1.28.11
  • K3s: v1.33.3+k3s1
  • Red Hat Open Shift: v4.17.15, v4.18.9, v4.20.8
  • Suse Rancher RKE2: v1.33.6+rke2r1, v1.34.2+rke2r, v1.35.0+rke2r3
  • AKS Edge Essentials: v1.30.5 e v.1.31.5
  • Azure Local versione 2602 + Kubernetes versioni 1.31.13, 1.32.9, 1.33.5

Sebbene sia possibile distribuire l'estensione in qualsiasi cluster Kubernetes connesso a Azure Arc, alcune funzionalità potrebbero non funzionare come previsto se il cluster esegue una distribuzione che non è stata convalidata.

Supporto a livello di area

Attualmente, cert-manager per Kubernetes abilitato per Azure Arc (anteprima) è supportato nelle seguenti aree di Azure:

  • Australia orientale
  • Brasile meridionale
  • Canada Central
  • Canada orientale
  • India centrale
  • Stati Uniti centrali
  • Asia orientale
  • Stati Uniti orientali
  • Stati Uniti orientali 2
  • Francia centrale
  • Germania centro-occidentale
  • Israel Central
  • Italia settentrionale
  • Japan East
  • Korea Central
  • Stati Uniti centro-settentrionali
  • North Europe
  • Norway East
  • Sudafrica settentrionale
  • Stati Uniti centro-meridionali
  • India meridionale
  • Sud-est asiatico
  • Svezia centrale
  • Svizzera settentrionale
  • Emirati Arabi Uniti settentrionali
  • UK South
  • Regno Unito occidentale
  • Stati Uniti centro-occidentali
  • West Europe
  • Stati Uniti occidentali
  • West US 2 (Regione Ovest degli Stati Uniti 2)
  • Stati Uniti occidentali 3

Passaggi successivi

  • Last updated on