Коллеги, есть проблема, хз что делать есть traefik с consulcatalog провайдером периодически,

по ощущениям раз в 3 дня падает сервис с ошибкой что просрочен сертификат. https://x.x.x.x:21955 - это порт envoy sidecar proxy. сервис с проксёй крутятся в номаде.

time="2024-03-01T07:51:09Z" level=debug msg="'500 Internal Server Error' caused by: x509: certificate has expired or is not yet valid: current time 2024-03-01T07:51:09Z is after 2024-02-29T16:33:36Z"
x.x.x.x - - [01/Mar/2024:07:51:09 +0000] "GET / HTTP/2.0" 500 21 "-" "-" 3 "invoice-page@consulcatalog" "https://x.x.x.x:21955" 14ms


дефольный период как раз 3 дня
consul connect ca get-config
{
"Provider": "consul",
"Config": {
"IntermediateCertTTL": "8760h",
"LeafCertTTL": "72h",
"RootCertTTL": "87600h"
},
"State": null,
"ForceWithoutCrossSigning": false,
"CreateIndex": 8,
"ModifyIndex": 12
}

было ли у вас подобное, как решали?
почему сертификат не обновляется автоматически, он же должен это делать?
где вероятно может быть проблема? consul/envoy/nomad/traefik?

А у вас не включен где-то ACL? Может там прав не хватает на рефреш сертификата?

Включен, щас посмотрю ошибки, спс

Действительно! в логах агента на номад клиенте, где крутился сервис все логи полны error="rpc error making call: ACL not found" а на других номад клиентах этого нет кажется разобрались, пошел чинить

в итоге я весь день провозился с этим. на всех нодах одинаковый конфиг, работали все кроме одной пофиксил буевально только что, снес /opt/consul, перезапустил, и все заработало... чудеса версии ОС и ПО везде одинаковые

Семь бед - один ресет/пересоздание ноды