Bitnami cert-manager Webhook 镜像

镜像概述

主要用途

cert-manager Webhook 是一个 Webhook 服务器，为 cert-manager 资源提供动态准入控制。cert-manager 是 Kubernetes 的附加组件，用于自动化来自各种签发源的 TLS 证书的管理和签发。该镜像通过 Webhook 机制实现对 cert-manager 资源的动态验证与控制，增强证书管理流程的安全性和合规性。

核心功能与特性

• 动态准入控制：通过 Webhook 服务器对 cert-manager 资源（如 Certificate、Issuer 等）进行实时验证和配置调整
• 与 cert-manager 深度集成：无缝对接 cert-manager 组件，支持证书生命周期全流程自动化
• 安全强化：基于 Bitnami Secure Images 构建，包含安全优化配置和最小化***面
• FIPS 合规支持：提供 FIPS 模式配置选项，满足安全合规需求
• 非 root 用户运行：默认以非 root 用户启动，降低容器逃逸风险，适合生产环境

使用场景与适用范围

• Kubernetes 集群中部署 cert-manager 以自动化 TLS 证书管理的场景
• 需要对 cert-manager 资源进行动态准入控制（如配置验证、默认值注入）的环境
• 对容器安全性有严格要求的生产环境，需使用非 root 容器和安全强化镜像
• 需要符合 FIPS 等安全标准的***、政务等合规场景

前提条件

• 运行中的 Kubernetes 集群，需支持 CustomResourceDefinition 或 ThirdPartyResource

快速启动（开发环境）

以下命令仅适用于开发环境，生产环境需进行安全配置优化：

console
docker run --name cert-manager-webhook -e ALLOW_EMPTY_PASSWORD=yes bitnami/cert-manager-webhook:latest

警告：快速启动配置仅用于开发环境。生产环境必须修改不安全的默认凭据，并参考 配置说明 进行安全加固。

配置说明

环境变量

高级配置

更多配置选项请参考 cert-manager ***文档。

部署方案示例

Docker 运行（开发环境）

console
# 启动 cert-manager-webhook 容器（开发环境）
docker run \
  --name cert-manager-webhook \
  -e ALLOW_EMPTY_PASSWORD=yes \
  -e OPENSSL_FIPS=no \  # 禁用 FIPS 模式（如需）
  bitnami/cert-manager-webhook:latest

⚠️ 重要通知：Bitnami 目录即将变更

自 2025 年 8 月 28 日起，Bitnami 将升级其公共目录，通过新的 Bitnami Secure Images 计划 提供精选的强化安全镜像。过渡内容包括：

• 首次向社区用户开放热门容器镜像的安全优化版本
• 逐步弃用免费 tier 中的非强化 Debian 基础镜像，并从公共目录中移除非最新标签，社区用户将仅能访问有限的强化镜像（仅保留 latest 标签，用于开发目的）
• 2025 年 8 月 28 日起，所有现有容器镜像（包括历史版本标签，如 2.50.0、10.6）将从公共目录（docker.io/bitnami）迁移至 "Bitnami Legacy" 仓库（docker.io/bitnamilegacy），且不再接收更新
• 生产环境和长期支持场景建议采用 Bitnami Secure Images，包含强化容器、最小***面、CVE 透明度（通过 VEX/KEV）、SBOM 和企业支持

这些变更旨在通过推广软件供应链完整性最佳实践和最新部署，提升所有 Bitnami 用户的安全态势。详情参见 Bitnami Secure Images 公告。

为什么选择 Bitnami Secure Images？

• 强化的容器和 Helm 图表使开源软件更安全、更适合企业环境
• 通过 VEX、KEV 和 EPSS 评分实现漏洞快速分类和 CVE 风险透明化
• 基于最小化 OS（Photon Linux）构建，减少***面同时保持行业标准包格式的可扩展性
• 持续构建的镜像在 upstream 补丁发布后数小时内完成更新，确保安全性和合规性
• 容器、虚拟机和云镜像采用统一的组件和配置方式，便于跨格式切换
• 强化镜像包含签名证明（Notation）、SBOM、病毒扫描报告等元数据，通过 SLSA-3 合规软件工厂生成

免费版仅提供部分 BSI 应用。如需完整应用目录和企业支持，请尝试 Bitnami Secure Images 商业版。

为什么使用非 root 容器？

非 root 容器镜像提供额外安全层，通常推荐用于生产环境。由于以非 root 用户运行，特权操作受到限制。更多信息参见 Bitnami 非 root 容器文档。

支持的标签及对应 Dockerfile 链接

了解 Bitnami 标签政策以及滚动标签与固定标签的区别，请参见 ***文档。

各标签的对应关系可查看分支文件夹中的 tags-info.yaml 文件（如 bitnami/ASSET/BRANCH/DISTRO/tags-info.yaml）。

可通过关注 bitnami/containers GitHub 仓库 获取项目更新。

显著变更

自 2024 年 1 月 16 日起

• 移除 docker-compose.yaml 文件，该文件仅用于内部测试。

贡献

欢迎通过 Issue 提交新功能需求，或通过 Pull Request 贡献代码。

问题反馈

如运行容器时遇到问题，请提交 Issue。为确保有效支持，请完整填写 issue 模板。

许可证

Copyright © 2025 Broadcom。"Broadcom" 指 Broadcom Inc. 及其子公司。

根据 Apache License 2.0 许可证授权（以下简称"许可证"）；除非符合许可证要求，否则不得使用此软件。

您可在以下地址获取许可证副本： <[***]>

除非适用***要求或书面同意，否则软件按"原样"分发，不提供任何明示或暗示的保证或条件。详情参见许可证。