Комментарии 3
Вместо Kyverno проще будет использовать stakater/Reloader.
В репозитории external-secrets есть открытый issue с запросом на добавление функционала перезапуска workload при обновлении секрета.
Если секреты размещаются в Hashicorp Vault, то у них есть свой оператор, который в том числе умеет самостоятельно делать rollout restart для указанных в VaultStaticSecret/VaultDynamicSecret spec.RolloutRestartTarget
kind и name.
в моем случае Kyverno используется не только для редеплоя, но и для применения других политик, а за инструмент спасибо) интересно будет попробовать где нибудь в небольших кластерах
Да, я вас понимаю. Kyverno или Gatekeeper, как инструменты категории policy engine, могут использоваться для широкого круга задач, в том числе и для мутации ресурсов.
Reloader просто более узкоспециализированный и достаточной стабильный инструмент и мне приходилось его использовать на проектах как раз в связке с ротацией секретов. Так что могу рекомендовать, если задача только в этом и не хочется заносить в кластер policy engine.
Управление секретами при деплое в k8s