Как cert-manager автоматизирует TLS сертификаты?

cert-manager работает как оператор: ты создаёшь Certificate ресурс с доменом и issuer, cert-manager автоматически запрашивает сертификат через ACME (Let's Encrypt), сохраняет в Secret, обновляет за 30 дней до истечения. ClusterIssuer работает на весь кластер, Issuer — в namespace. Интегрируется с Ingress через annotation — достаточно добавить cert-manager.io/cluster-issuer.