Cert-manager v1.15.3 安装问题分析与解决方案

在 Kubernetes 集群中部署 cert-manager v1.15.3 版本时，用户可能会遇到两个典型问题。本文将深入分析问题原因并提供解决方案，帮助用户顺利完成安装。

问题一：CA Injector 权限不足

当用户查看 cert-manager-cainjector 组件的日志时，会发现如下错误信息：

User "system:serviceaccount:cert-manager:cert-manager-cainjector" cannot get resource "leases" in API group "coordination.k8s.io" in the namespace "kube-system"

原因分析

这个错误表明 CA Injector 服务账户缺少对 kube-system 命名空间中 leases 资源的访问权限。cert-manager-cainjector 需要这些权限来参与领导选举过程，确保集群中只有一个实例处于活动状态。

解决方案

1. 为 cert-manager-cainjector 服务账户添加必要的 RBAC 权限
2. 或者修改领导选举的命名空间配置，避免使用受保护的 kube-system 命名空间

问题二：Webhook 证书验证失败

当用户尝试创建测试资源时，会遇到 webhook 验证失败的错误：

tls: failed to verify certificate: x509: certificate signed by unknown authority

原因分析

这个错误通常发生在以下情况：

1. Webhook 服务使用的 TLS 证书未被集群信任
2. 证书签发机构(CA)未正确配置到 Kubernetes API 服务器
3. Webhook 服务启动时未能正确生成或加载证书

解决方案

1. 确保 cert-manager-webhook 组件正常运行
2. 检查 webhook 的证书配置是否正确
3. 验证 API 服务器是否信任 webhook 的 CA 证书

最佳实践建议

1. 在生产环境部署前，先在测试环境验证安装
2. 仔细阅读官方文档中的故障排除章节
3. 确保 Kubernetes 版本与 cert-manager 版本兼容
4. 考虑使用 Helm 等包管理工具进行安装，可以简化配置过程

总结

cert-manager 作为 Kubernetes 集群中管理 TLS 证书的重要组件，其安装过程需要特别注意权限和证书配置。通过理解上述问题的根本原因并采取相应的解决措施，用户可以顺利完成部署并确保组件正常运行。对于更复杂的生产环境，建议参考官方文档进行详细的配置和验证。