devonwarren/rotate-policy-webhook
devonwarren
cert-manager准入控制webhook,用于确保私钥轮换设置为“always”
下载次数: 0状态:社区镜像维护者:devonwarren仓库类型:镜像最近更新:4 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
cert-manager私钥轮换强制webhook
镜像概述
该镜像提供cert-manager的准入控制webhook组件,核心功能是在Kubernetes集群中拦截cert-manager证书资源(Certificate)的创建和更新请求,强制将rotatePrivateKey字段设置为always,确保证书私钥定期自动轮换,提升证书管理的安全性。
核心功能和特性
- 准入控制机制:通过Kubernetes ValidatingWebhook拦截Certificate资源的创建/更新操作
- 强制私钥轮换:自动将Certificate资源的
rotatePrivateKey字段配置为always,覆盖用户设置 - cert-manager兼容:与cert-manager v1.0+版本完全兼容,支持标准Certificate资源
- 轻量级设计:基于Go语言开发,镜像体积小,资源占用低
- 安全增强:防止因私钥长期不轮换导致的安全风险,符合安全合规要求
使用场景和适用范围
- 使用cert-manager管理Kubernetes集群证书的环境
- 需强制实施私钥定期轮换策略的安全敏感场景(如***、***、***等行业)
- 需满足安全合规标准(如PCI DSS、HIPAA)的系统
- 希望自动保障证书私钥新鲜度的运维团队
使用方法和配置说明
前提条件
- Kubernetes集群(v1.16+)
- cert-manager已安装(v1.0+)
- 集群已启用准入控制器(ValidatingAdmissionWebhook)
部署步骤
-
创建命名空间(可选)
bashkubectl create namespace cert-manager-webhook -
部署webhook服务
通过Kubernetes Deployment部署webhook组件:yamlapiVersion: apps/v1 kind: Deployment metadata: name: rotate-private-key-webhook namespace: cert-manager-webhook spec: replicas: 1 selector: matchLabels: app: rotate-private-key-webhook template: metadata: labels: app: rotate-private-key-webhook spec: containers: - name: webhook image: [镜像名称]:[版本] ports: - containerPort: 443 volumeMounts: - name: tls-cert mountPath: /etc/webhook/certs readOnly: true env: - name: WEBHOOK_PORT value: "443" - name: CERT_MANAGER_NAMESPACE value: "cert-manager" volumes: - name: tls-cert secret: secretName: webhook-tls -
创建服务
yamlapiVersion: v1 kind: Service metadata: name: rotate-private-key-webhook namespace: cert-manager-webhook spec: selector: app: rotate-private-key-webhook ports: - port: 443 targetPort: 443 -
配置ValidatingWebhookConfiguration
yamlapiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: rotate-private-key-webhook webhooks: - name: rotate-private-key.cert-manager.io clientConfig: service: name: rotate-private-key-webhook namespace: cert-manager-webhook path: /validate-cert-manager-io-v1-certificate caBundle: [CA证书内容] rules: - apiGroups: ["cert-manager.io"] apiVersions: ["v1"] resources: ["certificates"] operations: ["CREATE", "UPDATE"] admissionReviewVersions: ["v1"] sideEffects: None timeoutSeconds: 5
Docker运行示例
(仅用于测试,生产环境建议通过Kubernetes部署)
bashdocker run -d \ -p 443:443 \ -v /path/to/tls/certs:/etc/webhook/certs \ -e WEBHOOK_PORT=443 \ -e CERT_MANAGER_NAMESPACE=cert-manager \ [镜像名称]:[版本]
配置参数说明
环境变量
| 环境变量名 | 描述 | 默认值 | 必需 |
|---|---|---|---|
WEBHOOK_PORT | webhook服务监听端口 | 443 | 否 |
CERT_MANAGER_NAMESPACE | cert-manager部署的命名空间 | cert-manager | 否 |
LOG_LEVEL | 日志级别(debug/info/warn/error) | info | 否 |
TLS_CERT_PATH | TLS证书路径 | /etc/webhook/certs/tls.crt | 否 |
TLS_KEY_PATH | TLS私钥路径 | /etc/webhook/certs/tls.key | 否 |
卷挂载
需挂载包含webhook TLS证书和私钥的Secret到容器中,用于HTTPS通信。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 rotate-policy-webhook 镜像标签
docker pull docker.xuanyuan.run/devonwarren/rotate-policy-webhook:<标签>
DockerHub 原生拉取命令
docker pull devonwarren/rotate-policy-webhook:<标签>
更多 rotate-policy-webhook 镜像推荐
rancher/rancher-webhook
rancher
暂无描述
1 次收藏1亿+ 次下载
2 天前更新
rancher/os-logrotate
rancher
暂无描述
10万+ 次下载
5 年前更新
openpolicyagent/gatekeeper
openpolicyagent
暂无描述
3 次收藏10亿+ 次下载
2 天前更新
rancher/rancher-webhook
rancher
暂无描述
1 次收藏1亿+ 次下载
2 天前更新
rancher/os-logrotate
rancher
暂无描述
10万+ 次下载
5 年前更新
openpolicyagent/gatekeeper
openpolicyagent
暂无描述
3 次收藏10亿+ 次下载
2 天前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"