边车如何重新启动应用程序容器或其自己的吊舱？

Question

我想要一个 sidecar 管理秘密轮换，这需要应用程序容器重新启动才能强制它获取更新的凭据。

Sidecar 如何强制同一 Pod 中的容器重新启动或整个 Pod 重新启动？

详细说明：

• 不同技术栈的服务都需要开始使用secret。密钥可以通过 CI/CD 注入，也可以在运行时从 AWS Secrets Manager 获取。
• 出于安全合规性原因，机密需要每 3 个月轮换一次。
• 秘密仅在启动时使用一次以创建相关客户端。由于它们不是连续使用的，因此如果在源存储上更新，它们不会自然刷新。
• 为了最大限度地减少每个服务的开发时间，应避免或最大限度地减少每个服务中用于刷新机密的自定义逻辑

Answer 1

如果您在EKS或ECS中运行应用程序，则有以下模式可以旋转秘密而无需重新启动容器。

https：// docs。 aws.amazon.com/prescriptive-guidance/latest/patterns/rotate-credentials-without-prestarting-containers.html