Helm 3文档页

通常情况下，配置映射或秘密作为配置文件注入到容器中。根据应用程序的不同，如果后续的头盔升级更新了这些配置，则可能需要重新启动，但如果部署规范本身没有更改，则应用程序将继续使用旧配置运行，从而导致部署不一致。

sha256sum函数可以与include函数一起使用，以确保在其他规范更改时更新部署模板部分:

kind: Deployment
spec:
  template:
    metadata:
      annotations:
        checksum/config: {{ include (print $.Template.BasePath "/secret.yaml") . | sha256sum }}
[...]

在我的例子中，由于某些原因，$. template。BasePath没有工作，但$. chart。名称:

spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: admin-app
      annotations:
        checksum/config: {{ include (print $.Chart.Name "/templates/" $.Chart.Name "-configmap.yaml") . | sha256sum }}

当部署在子图表中，而控制它的值在父图表的值文件中时，出现了这个问题。这是我们用来触发重启的:

spec:
  template:
    metadata:
      annotations:
        checksum/config: {{ tpl (toYaml .Values) . | sha256sum }}

显然，这将在任何值更改时触发重新启动，但它适用于我们的情况。最初在子图中的内容只有在配置。Yaml在子图中本身发生了变化:

    checksum/config: {{ include (print $.Template.BasePath "/config.yaml") . | sha256sum }}

我发现最好的方法是运行Reloader

它允许您定义要监视的配置映射或秘密，当它们更新时，将执行部署的滚动更新。这里有一个例子:

你有一个部署foo和一个名为foo- ConfigMap的ConfigMap。您希望在每次更改configmap时滚动部署的pod。你需要运行Reloader:

kubectl apply -f https://raw.githubusercontent.com/stakater/Reloader/master/deployments/kubernetes/reloader.yaml

然后在部署中指定这个注释:

kind: Deployment
metadata:
  annotations:
    configmap.reloader.stakater.com/reload: "foo-configmap"
  name: foo
...

考虑使用kustomize(或kubectl apply -k)，然后利用它强大的configMapGenerator特性。例如，来自:https://kubectl.docs.kubernetes.io/references/kustomize/kustomization/configmapgenerator/

apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization

# Just one example of many...
- name: my-app-config
  literals:
  - JAVA_HOME=/opt/java/jdk
  - JAVA_TOOL_OPTIONS=-agentlib:hprof

  # Explanation below...
  - SECRETS_VERSION=1

然后在部署中引用my-app-config即可。当使用kustomize构建时，它会自动查找并更新my-app-config的引用，并使用更新的后缀，例如my-app-config-f7mm6mhf59。

额外的好处是，更新秘密:我还使用此技术强制重新加载秘密(因为它们以同样的方式受到影响)。虽然我个人完全单独管理我的秘密(使用Mozilla sops)，但您可以将配置映射与您的秘密捆绑在一起，例如在您的部署中:

# ...
spec:
  template:
    spec:
      containers:
        - name: my-app
          image: my-app:tag
          envFrom:
            # For any NON-secret environment variables. Name is automatically updated by Kustomize
            - configMapRef:
                name: my-app-config

            # Defined separately OUTSIDE of Kustomize. Just modify SECRETS_VERSION=[number] in the my-app-config ConfigMap
            # to trigger an update in both the config as well as the secrets (since the pod will get restarted).
            - secretRef:
                name: my-app-secrets

然后，像我上面所做的那样，在ConfigMap中添加一个像SECRETS_VERSION这样的变量。然后，每次更改my-app-secrets时，只需增加SECRETS_VERSION的值，这除了触发kustomize'd ConfigMap名称的更改外，没有其他用途，这也应该导致重新启动pod。然后就变成:

如果k8 > 1.15;然后做一个rollout重启对我来说是最好的，作为CI/CD的一部分，应用配置路径与卷挂载相连。重新加载插件或设置restartPolicy: Always in deployment manifest YML对我不起作用。不需要更改应用程序代码，既适用于静态资产，也适用于微服务。

kubectl rollout restart deployment/<deploymentName> -n <namespace> 

在配置映射更新时向pod发送信号是一个正在工作的功能(https://github.com/kubernetes/kubernetes/issues/22368)。

你总是可以写一个自定义的pid1来通知confimap已经改变并重新启动你的应用程序。

您还可以例如:在两个容器中挂载相同的配置映射，在第二个容器中暴露一个http健康检查，如果配置映射内容的哈希值发生变化，该检查将失败，并将其作为第一个容器的活动探测(因为pod中的容器共享相同的网络名称空间)。当探测失败时，kubelet将为您重新启动第一个容器。

当然，如果您不关心pod在哪些节点上，您可以简单地删除它们，复制控制器将为您“重新启动”它们。