Wanneer het gaat over TLS certificaten toevoegen aan Ingress objecten op
OpenShift dan is er altijd een groot verschil geweest tussen OpenShift Routes
en andere vormen van Ingress: Bij OpenShift Routes moesten de certificaten
ge-embed in het Route objectr, terwijl je bij andere Ingress objecten naar een
certificaat in een Secret kon wijzen.
Deze situatie is, zoals zoveel OpenShift dingen, historisch gegroeid, maar met
een goede reden: De OpenShift Engineers waren nogal huiverig voor het geven van
algemene Secret lees-rechten aan de OpenShift Router. Met de release van
OpenShift 4.19 is hier verandering ingekomen, je mag nu in een Route naar een
Secret wijzen met je certificaat info. Wel moet je expliciet een Role en
een Rolebinding aanmaken die de OpenShift Router expliciete leesrechten geeft
op je Secret.
Dit maakt het werken met tools als cert-manager en External Secrets Operator
een stuk makkelijker, deze hebben nu geen extra tooling meer nodig om de
opgehaalde of gegenereerde certificaten in de Route te embedden.