使用相同密码的部署之间的K8S同步

Question

在我的k8s集群中，我有两个部署:一个用于使用给定的密钥对生成JWTs，另一个用于使用相同的密钥对验证JWTs。

两个部署都使用包含密钥/密钥对的相同k8s密钥。

当我想要撤销/更新密钥对时，如何在部署之间创建一致性？实际上，我希望所有生成的JWT都会被验证，尽管有两个不同的微服务，并且不一定会为了使用新的密钥而同时更新两个微服务的所有pod。

如何防止验证失败的这种错误警报？

Answer 1

这个问题不可能有一个通用的解决方案:您必须自己协调所有各方。

常见的解决方案是发布一个新的秘密，并让所有参与者都接受这两个秘密。

然后在一段时间后停止发布旧版本，并从所有地方删除它。

Answer 2

在Helm chart或Kustomize清单中，将secret内容的哈希设置为pod模板上的批注，当secret的内容发生变化时，会自动触发重新部署。

或者，您的软件可以检测到文件中的更改并重新加载它们。