部署OpenTelemetry Operator需要先安装Cert-Manager的核心原因是Operator内部包含Admission Webhook(Mutating/Validating),而Kubernetes对Webhook有严格的HTTPS/TLS要求。具体来说:
- Kubernetes API Server调用Webhook时强制要求TLS加密通信,Webhook服务必须提供有效的TLS证书
- Cert-Manager负责自动签发Webhook所需的TLS证书,并注入到Webhook配置中
- Cert-Manager还会自动管理证书的轮换(Rotation),确保证书在过期前自动更新
- 没有有效证书的Webhook将无法被API Server信任,导致探针注入功能完全失效
安装方式是通过Helm Chart部署Cert-Manager到cert-manager命名空间,启用CRDs后即可为Operator的Webhook提供证书管理服务。虽然也可以手动管理证书,但Cert-Manager的自动化能力可以避免证书过期导致的服务中断风险。