Home Sign Up Sign In
msmmbl
V2EX  ›  问与答

请教 k3s 的 cert-manager 自动 renew 证书后,如何通知 pod 使用新的证书

  •   
  •   msmmbl · Jun 14, 2021 · 1704 views
    This topic created in 1810 days ago, the information mentioned may be changed or developed.

    K3s 使用 Daemon Set 的方式,在 80 多个设备上运行同一个 go 程序。go 程序提供 https 程序,每一个节点都有独立的 https 域名。

    使用 cert-manager 维护一个泛域名证书。为这些节点提供 tls 证书。使用 letsencrypt 提供的证书服务,cert-manager 会每隔 3 个月自动续签证书。

    请问大家是如何在 cert-manager 自动续签证书或,通知到 go 程序的 pod 使用新的证书的。

    目前使用了 https://pkg.go.dev/github.com/dyson/certman 但是没有生效。虽然 cert-manager 自动续签证书了,但是 go 程序还是使用老的证书。

  • 证书
  • pod
  • k3s
  • 程序
    4 replies    2021-06-15 16:22:44 +08:00
    wd
        1
    wd  
       Jun 14, 2021 via iPhone
    cert managrr 最后会生成一个包含证书的 secret 吧? pod mount 会自动更新
    msmmbl
        2
    msmmbl  
    OP
       Jun 14, 2021 via Android
    @wd 嗯,是的,会生成一个 secret,mount 成 pod 中的一个文件。我的 go 程序会检测这个文件是否变化(通过 certman )来决定是否重新读取。但是似乎没有生效。但是重新启动 pod 会生效。
    wd
        3
    wd  
       Jun 15, 2021 via iPhone
    @msmmbl 你可以查查 应该是慢 secret 更新之后到 mount 文件变化 不一定是实时的 会有滞后
    msmmbl
        4
    msmmbl  
    OP
       Jun 15, 2021
    @wd 感谢,确实是这样,大概等了两分钟文件变化了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1512 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 51ms · UTC 16:37 · PVG 00:37 · LAX 09:37 · JFK 12:37
    ♥ Do have faith in what you're doing.