Cert-Manager证书自动续期后Kong网关未更新TLS密钥问题解析

问题现象

在使用Cert-Manager v1.11.0管理Kong API网关的TLS证书时，发现当证书接近到期时，Cert-Manager能够正常完成以下流程：

1. 创建新的CertificateRequest并获得批准
2. 从Let's Encrypt获取新证书
3. 生成包含新证书的临时密钥(如domain.in-random)

然而系统并未将新证书更新到Kong网关实际使用的TLS密钥(domain.in)中，导致网关继续使用过期的旧证书。

技术背景

Cert-Manager是Kubernetes中广泛使用的证书管理工具，它能够自动处理TLS证书的签发、续期和轮换。Kong作为API网关，通常作为集群的Ingress Controller，负责处理入站流量并终止TLS连接。

在正常工作流程中，Cert-Manager会：

1. 监控证书到期时间
2. 提前发起续期请求
3. 获取新证书后更新Kubernetes Secret
4. 触发Ingress Controller重新加载新证书

问题根源分析

经过深入排查，发现该问题与Kong网关的特定实现有关。Kong在Kubernetes环境中使用自定义资源KongIngress来配置TLS设置，而不是直接依赖标准的Ingress资源。当Cert-Manager更新Secret后，Kong没有自动检测到这一变化并重新加载证书。

解决方案

要解决这个问题，需要采取以下措施：

1. 明确Kong的证书加载机制：Kong默认不会自动监听Secret变化，需要明确配置或触发重新加载

2. 配置证书热重载：在Kong的配置中启用证书自动重载功能，可以通过以下方式实现：

   • 设置环境变量KONG_SSL_CERT=/path/to/cert.pem
   • 确保Kong有权限读取更新后的Secret

3. 调整Cert-Manager配置：确保Cert-Manager有正确的RBAC权限来更新Kong命名空间中的Secret

4. 验证流程：可以通过以下步骤验证解决方案是否生效：

   • 手动删除现有Secret
   • 观察Cert-Manager是否重新创建
   • 检查Kong日志确认是否加载了新证书

最佳实践建议

1. 监控证书状态：部署监控系统定期检查证书有效期和加载状态

2. 提前测试续期：在证书到期前足够时间手动触发续期测试

3. 版本兼容性检查：确保Cert-Manager和Kong版本兼容

4. 文档记录：详细记录证书管理流程和故障处理步骤

总结

Cert-Manager与Kong网关集成时的证书更新问题是一个典型的控制器间协作问题。理解各组件的工作原理和交互方式对于解决此类问题至关重要。通过正确配置证书热重载机制和确保适当的权限设置，可以建立可靠的自动证书管理流程。

对于生产环境，建议建立完整的证书生命周期监控体系，并定期演练证书轮换流程，确保系统在真实证书到期时能够无缝切换。