zx900930

@zed1018 解密的私钥在目标集群，30 天自动轮转一次，编写 secret 的时候通过客户端连接 api 刷新私钥。
但是这个方法安全虽然有保障，缺点太明显了，就是太过于麻烦，推行会有很大阻力。

不如在 git 那边单独开个 repo 专门存放 secret ，严格限制接入设备更简单。

@zed1018 这个决定了是否能实现 100%的 IaC 。
要复制或者迁移只需要新起一个集群然后连接这个 git repo ，剩下的活基本就不需要人为介入了。
集群/App 数量多的时候很有用的。

@oldboy627 谢谢，这个挺像 bitnami-sealed-secrets 的做法。
客户端加密，然后生产环境的 controller 解密。
我先测试一下这个方案。

@momo2789 有 saas 服务真好，air-gapped 干啥都跟带着脚镣跳舞一样。
我想到是否可以用 git-crypt 这种，在 git 上直接加密 secret 文件，然后 argocd 在 pull 的时候解密，唯一的问题就是这个用来加密的私钥没法定期更新。

@Leo666666 #18 不是，怕断连再开个外管 vnc 过去啊，虚拟化平台的基础功能啊，实在没有临时开个 telnet

@chf007 非 docker swarm 的 healthcheck 自愈可以配合镜像：willfarrell/autoheal 实现

我国内的站+百度云 CDN 是这么操作的
acme.sh 自动更新证书
获取的证书通过脚本自动更新到 CDN 上
https://github.com/zx900930/baidu-cdn-certupdate

@0x5c0f 版本发布后的健康状态可以自己写 healthcheck ，然后用 autoheal 容器监控实现类似 k8s 的 readiness/liveness probe 的自愈功能。