Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 1
О, у Traefik очень интересно устроена работа с сертификатами. У нас в кластере, в разных неймспейсах лежат секреты с одинаковым wildcard сертификатом, т.к. чарты требуют обязательного наличия такого секрета и не работают с дефолтным. Так вот, когда сертификат по недосмотру протух и мы поменяли его только в неймспейсе для сервиса, то ничего не заработало. Все начало работать, только тогда, когда обновили сертификат во всех секретах.
Traefik держит у себя в памяти хранилище сертификатов. Если в нем лежат несколько сертификатов с одинаковым именем, но с разными датами, то не факт, что он будет использовать корректный сертификат, даже если он был указан явно в манифесте ингресса. Он смотрит на свои сертификаты, сортирует их из алфавита и берет первый из списка.
Потом я был удивлен, когда обнаружил, что даже если какой-то чарт требует наличия секрета с сертификатом, но его нет в неймспейсе, то Traefik вытащит наиболее подходящий сертификат из своего хранилища и будет использовать его.
Надо поразбираться с этой темой поглубже, но пока руки не доходят.
По итогу я сделал подтягивание секрета из волта и зеркалирование его по неймспейсам при помощи Reflector, чтобы не заниматься этим руками.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Миграция с ingress-nginx: переход к Gateway API