请教 k3s 的 cert-manager 自动 renew 证书后,如何通知 pod 使用新的证书

2021-06-14 21:17:27 +08:00
 msmmbl

K3s 使用 Daemon Set 的方式,在 80 多个设备上运行同一个 go 程序。go 程序提供 https 程序,每一个节点都有独立的 https 域名。

使用 cert-manager 维护一个泛域名证书。为这些节点提供 tls 证书。使用 letsencrypt 提供的证书服务,cert-manager 会每隔 3 个月自动续签证书。

请问大家是如何在 cert-manager 自动续签证书或,通知到 go 程序的 pod 使用新的证书的。

目前使用了 https://pkg.go.dev/github.com/dyson/certman 但是没有生效。虽然 cert-manager 自动续签证书了,但是 go 程序还是使用老的证书。

1147 次点击
所在节点    问与答
4 条回复
wd
2021-06-14 21:39:06 +08:00
cert managrr 最后会生成一个包含证书的 secret 吧? pod mount 会自动更新
msmmbl
2021-06-14 21:50:39 +08:00
@wd 嗯,是的,会生成一个 secret,mount 成 pod 中的一个文件。我的 go 程序会检测这个文件是否变化(通过 certman )来决定是否重新读取。但是似乎没有生效。但是重新启动 pod 会生效。
wd
2021-06-15 05:42:46 +08:00
@msmmbl 你可以查查 应该是慢 secret 更新之后到 mount 文件变化 不一定是实时的 会有滞后
msmmbl
2021-06-15 16:22:44 +08:00
@wd 感谢,确实是这样,大概等了两分钟文件变化了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783344

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX