Я использую https://github.com/jetstack/cert-manager в среде Kubernetes для автоматической загрузки https://letsencrypt.org/.. Создаются сертификаты, срок действия которых истекает через 90 дней. 30 дней до истечения срока действия, сертификат-менеджер обновляет сертификаты и заменяет сертификаты.Сертификаты хранятся в секретах k8s.
Как вы получаете Envoy Proxy для автоматической перезагрузки сертификатов ?Проблемы были закрыты и, похоже, остались без ответа.Есть некоторые упоминания о секретной службе обнаружения (SDS), которые могли бы помочь найти решение, но я пока не смог найти его.
Для nginx это возможнонастроить TLS, добавив секреты k8s к томам k8s, подключив том к файловой системе для использования nginx.Затем наблюдатель файловой системы можно использовать для вызова sudo nginx -s reload , чтобы перезагрузить конфигурацию при изменении сертификатов.Я вижу, что Envoy Proxy поддерживает горячий перезапуск , но я не вижу команду, подобную nginx, чтобы сделать его горячим перезапуском.
Существует hot-restarter.py , но это не средство просмотра файлов, и я бы не стал устанавливать python в образе envoyproxy / envoy: последняя версия докера.Я подумал, что некоторые функции этой программы могут быть встроены в приложение ржавчины, которое также выполняет просмотр файлов, но должно быть что-то, что уже существует для этого очень распространенного сценария, верно?