Este documento explica qué es un ClusterIssuer y por qué existe.
No es una guía técnica.
Es una explicación conceptual para entender el modelo.
Cuando accedemos a una web y vemos un candado 🔒 en el navegador, significa que:
Si ese candado no está:
Para que exista ese candado, el servidor necesita un certificado digital.
Un certificado digital es un documento electrónico que dice:
"Este servidor es quien dice ser."
Ese documento está firmado por una entidad de confianza llamada:
👉 Autoridad Certificadora (CA)
Por ejemplo:
El navegador confía en esas entidades.
Si la CA firma el certificado, el navegador muestra el candado.
En un entorno tradicional:
En Kubernetes esto no es práctico porque:
Necesitamos automatizar el proceso.
Cert-Manager es un componente que vive dentro del clúster y se encarga de:
Es el "gestor automático de certificados" del clúster.
Pero necesita saber una cosa muy importante:
👉 ¿A quién debe pedir los certificados?
Un ClusterIssuer es simplemente:
👉 La definición de la autoridad que va a emitir los certificados.
Es como decirle al clúster:
"Cuando alguien pida un certificado, usa esta autoridad y este método para validarlo."
Define:
No emite certificados por sí mismo.
Solo define la regla de emisión.
Para que una autoridad como Let's Encrypt emita un certificado, necesita comprobar que realmente controlamos el dominio.
Hay dos formas habituales:
La autoridad intenta acceder a una URL concreta en nuestro servidor.
Si responde correctamente, considera que somos los propietarios.
Es válido cuando:
La autoridad pide que creemos un registro especial en el DNS del dominio.
Si ese registro aparece correctamente, valida el dominio.
Es útil cuando:
*.midominio.com.El ClusterIssuer define:
Cuando una aplicación necesita HTTPS:
Todo el proceso es automático.
En Kubernetes existen dos tipos:
En arquitecturas centralizadas se utiliza normalmente ClusterIssuer, porque:
Después de leer este documento debe quedar claro que:
El ClusterIssuer no es magia.
Es una regla declarativa que dice:
👉 "Así es como este clúster obtiene identidad digital."
Identidad automática hoy. Seguridad continua mañana.