quay.io/jetstack/cert-manager-cainjector:v1.17.2

cert-manager-cainjector 是 Jetstack 开发的 cert-manager 生态组件之一，核心功能是自动将 CA 证书注入到 Kubernetes 集群内的各类目标资源中，解决手动管理 CA 证书配置的繁琐问题。在基于证书的安全通信场景中，许多 Kubernetes 资源（如 ValidatingWebhookConfiguration、MutatingWebhookConfiguration、APIService 等）需要 CA 证书来验证通信双方的身份，而 cainjector 正是为此类场景设计的自动化工具。

核心能力

它的核心作用是“桥梁”：一方面监听集群内 CA 证书的变化（通常存储在 Secret 中），另一方面识别需要 CA 证书的目标资源，自动提取 CA 证书内容并注入到资源的指定字段（如 caBundle）。例如，当 cert-manager 签发或更新 CA 证书后，cainjector 会实时感知 Secret 的变化，随后同步更新所有关联的 webhook 配置或 API 服务配置，确保这些资源始终使用最新的 CA 证书，避免因证书过期或手动配置遗漏导致的服务中断。

工作逻辑

运行时，cainjector 通过 Kubernetes API 监听两类对象：一是存储 CA 证书的 Secret（需通过注解或配置指定），二是需要注入 CA 的目标资源（如 webhook 配置、APIService 等）。当 CA 证书更新或目标资源创建时，它会读取 Secret 中的 CA 证书数据（通常是 tls.crt 字段），并将其编码为 PEM 格式后注入到目标资源的 caBundle 字段。整个过程无需人工干预，实现了 CA 证书从存储到应用的全自动流转。

典型使用场景

• Webhook 配置管理：部署依赖 webhook 的应用（如 Operator、服务网格组件）时，webhook 配置需 CA 证书验证通信合法性。cainjector 可自动从 cert-manager 管理的 CA Secret 中提取证书，注入到 ValidatingWebhookConfiguration 或 MutatingWebhookConfiguration 的 clientConfig.caBundle 字段，确保 webhook 通信加密且可信。
• APIService 配置：当集群中部署自定义 API 服务（通过 APIService 注册）时，APIService 需 CA 证书验证后端服务身份。cainjector 可将 CA 证书注入到 APIService 的 caBundle 字段，保障 API 调用的安全性。
• 跨命名空间 CA 共享：若 CA 证书存储在特定命名空间的 Secret 中，cainjector 可跨命名空间将证书注入到其他命名空间的目标资源，实现 CA 证书的集群级复用。

注意事项

使用时需确保两点：一是为 cainjector 配置足够的 RBAC 权限，使其能读取 CA Secret（secrets.get）和修改目标资源（如 validatingwebhookconfigurations.update）；二是通过资源注解（如 cert-manager.io/inject-ca-from）或配置文件明确指定 CA Secret 的名称和命名空间，避免 cainjector 找不到目标证书。

价值总结

通过自动化 CA 证书注入流程，cainjector 大幅降低了手动配置 CA 证书的操作成本和出错风险，尤其在证书轮换频繁或资源数量较多的场景下，能显著提升集群证书管理的效率和可靠性。对于依赖证书进行安全通信的 Kubernetes 应用，它是简化运维、保障通信安全的关键工具。