V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
msmmbl
V2EX  ›  问与答

请教 k3s 的 cert-manager 自动 renew 证书后,如何通知 pod 使用新的证书

  •  
  •   msmmbl · 2021-06-14 21:17:27 +08:00 · 682 次点击
    这是一个创建于 474 天前的主题,其中的信息可能已经有所发展或是发生改变。

    K3s 使用 Daemon Set 的方式,在 80 多个设备上运行同一个 go 程序。go 程序提供 https 程序,每一个节点都有独立的 https 域名。

    使用 cert-manager 维护一个泛域名证书。为这些节点提供 tls 证书。使用 letsencrypt 提供的证书服务,cert-manager 会每隔 3 个月自动续签证书。

    请问大家是如何在 cert-manager 自动续签证书或,通知到 go 程序的 pod 使用新的证书的。

    目前使用了 https://pkg.go.dev/github.com/dyson/certman 但是没有生效。虽然 cert-manager 自动续签证书了,但是 go 程序还是使用老的证书。

    4 条回复    2021-06-15 16:22:44 +08:00
    wd
        1
    wd  
       2021-06-14 21:39:06 +08:00 via iPhone
    cert managrr 最后会生成一个包含证书的 secret 吧? pod mount 会自动更新
    msmmbl
        2
    msmmbl  
    OP
       2021-06-14 21:50:39 +08:00 via Android
    @wd 嗯,是的,会生成一个 secret,mount 成 pod 中的一个文件。我的 go 程序会检测这个文件是否变化(通过 certman )来决定是否重新读取。但是似乎没有生效。但是重新启动 pod 会生效。
    wd
        3
    wd  
       2021-06-15 05:42:46 +08:00 via iPhone
    @msmmbl 你可以查查 应该是慢 secret 更新之后到 mount 文件变化 不一定是实时的 会有滞后
    msmmbl
        4
    msmmbl  
    OP
       2021-06-15 16:22:44 +08:00
    @wd 感谢,确实是这样,大概等了两分钟文件变化了。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2230 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 13:49 · PVG 21:49 · LAX 06:49 · JFK 09:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.