[P1][ops] ACME renewal 후 running TLS/QUIC config reload 또는 restart hook 지원 #34

New issue

Closed

opened 2026-05-02 04:34:09 +00:00 by boxqkrtm · 1 comment

boxqkrtm commented 2026-05-02 04:34:09 +00:00

Copy link

문제

ACME renewal이 파일 material은 갱신하지만 running TLS acceptor와 QUIC config는 relay restart 후 새 material을 load하는 구조로 정리되어 있습니다.

관련 후보:

• crates/portal-relay/src/state/acme.rs
• TLS/QUIC listener initialization 경로
• 운영 문서/Docker 배포 문서

운영 영향

• 인증서 파일은 갱신되어도 running process는 만료 예정 인증서를 계속 사용할 수 있음
• 별도 restart orchestration이 없으면 cert expiry incident 가능

제안

• TLS/QUIC config hot reload 지원 검토
• 또는 renewal 성공 후 graceful restart hook/systemd/k8s hook 문서화
• cert expiry metric/alert 노출
• renewal 실패/성공 audit log 강화

완료 기준

• renewal 후 새 인증서가 running listener에 반영되거나 명확한 restart hook 제공
• cert expiry metric/log로 운영자가 알 수 있음
• ACME renewal operational test 또는 문서 추가

---

검토 기준: 업로드된 Rust portal-relay 코드 정적 리뷰. 리뷰 환경에서는 cargo check/test/clippy를 실행하지 못했습니다.

## 문제 ACME renewal이 파일 material은 갱신하지만 running TLS acceptor와 QUIC config는 relay restart 후 새 material을 load하는 구조로 정리되어 있습니다. 관련 후보: - `crates/portal-relay/src/state/acme.rs` - TLS/QUIC listener initialization 경로 - 운영 문서/Docker 배포 문서 ## 운영 영향 - 인증서 파일은 갱신되어도 running process는 만료 예정 인증서를 계속 사용할 수 있음 - 별도 restart orchestration이 없으면 cert expiry incident 가능 ## 제안 - TLS/QUIC config hot reload 지원 검토 - 또는 renewal 성공 후 graceful restart hook/systemd/k8s hook 문서화 - cert expiry metric/alert 노출 - renewal 실패/성공 audit log 강화 ## 완료 기준 - renewal 후 새 인증서가 running listener에 반영되거나 명확한 restart hook 제공 - cert expiry metric/log로 운영자가 알 수 있음 - ACME renewal operational test 또는 문서 추가 --- 검토 기준: 업로드된 Rust `portal-relay` 코드 정적 리뷰. 리뷰 환경에서는 `cargo check/test/clippy`를 실행하지 못했습니다.

gofix referenced this issue from a pull request that will close it, 2026-05-03 18:55:41 +00:00

feat: add ACME renew hook #63

gofix closed this issue 2026-05-03 18:55:59 +00:00

gofix commented 2026-05-03 18:58:40 +00:00

Owner

Copy link

수용했습니다. PR #63에서 managed ACME renewal 성공 후 실행되는 ACME_RENEW_HOOK을 추가했습니다. hot TLS/QUIC reload는 구조 변경이 커서 이번 범위에서는 제외하고, 운영자가 systemd/k8s/container restart 또는 reload를 hook으로 연결할 수 있게 했습니다. 검증은 root-owned local target cache를 피하기 위해 별도 CARGO_TARGET_DIR로 cargo test --locked 및 cargo clippy --locked --all-targets -- -D warnings를 실행했습니다.

수용했습니다. PR #63에서 managed ACME renewal 성공 후 실행되는 ACME_RENEW_HOOK을 추가했습니다. hot TLS/QUIC reload는 구조 변경이 커서 이번 범위에서는 제외하고, 운영자가 systemd/k8s/container restart 또는 reload를 hook으로 연결할 수 있게 했습니다. 검증은 root-owned local target cache를 피하기 위해 별도 CARGO_TARGET_DIR로 cargo test --locked 및 cargo clippy --locked --all-targets -- -D warnings를 실행했습니다.

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

codex/release-v2.3.2-20260606T133940Z-v2.3.2

codex/release-v2.3.1-20260606T053818Z-v2.3.1

codex/release-v2.3.0-20260601T053029Z-v2.3.0

fix/install-rustls-provider

fix/secure-existing-identity-dir-mode

codex/release-v2.2.5-20260531T135659Z-v2.2.5

codex/release-v2.2.4-20260528T101441Z-v2.2.4

fix/ech-sni-routing

codex/release-v2.2.3-20260520T013605Z-v2.2.3

codex/release-v2.2.2-20260515T172725Z-v2.2.2

codex/v221-upstream-compat

fix/ech-dns-records

feature/upstream-v2.2.0

codex/v219-server-compat

fix/debian-slim-final-stage

fix/disable-kaniko-cache-push

chore/drop-amd64-build

fix/amd64-build-opt-level-2

fix/amd64-build-oom-mitigation

fix/preserve-file-capabilities

chore/derive-release-version-from-env

chore/adopt-k3s-style-versioning

ci/kaniko-multi-arch-images

docs/relay-server-scope

codex/v218-relay-compat

feature/rollback-kaniko-image-build

cleanup/remove-multihop-diagnostics

fix/multihop-kernel-tcp

chore/bump-release-version-dev5

fix/issue-16-delete-zero-hop-route

fix/issue-16-hop-route-first-seen

chore/bump-release-version-dev4

ci/rust-checks

codex/multihop-structured-logs

fix/multihop-hop-route-signature

codex/relay-landing-rust-port-note

ci/multiarch-container-image

chore/release-v2.1.8-rs.dev3

ci/fix-registry-auth

chore/release-v2.1.8-rs.dev2

docs/update-unsupported-features

feature/tls-acme-cloudflare

ci/tagged-container-image

feature/distroless-runtime

feature/public-relays-list

feature/document-unsupported-upstream-features

v2.3.2+rs.1-dev.1

v2.3.1+rs.1

v2.3.1+rs.1-dev.1

v2.3.0+rs.1

v2.3.0+rs.1-dev.1

v2.2.5+rs.1

v2.2.5+rs.1-dev.3

v2.2.5+rs.1-dev.2

v2.2.5+rs.1-dev.1

v2.2.4+rs.1

v2.2.4+rs.1-dev.1

v2.2.3+rs.2

v2.2.3+rs.2-dev.1

v2.2.3+rs.1

v2.2.3+rs.1-dev.1

v2.2.2+rs.2

v2.2.2+rs.2-dev.1

v2.2.2+rs.1

v2.2.2+rs.1-dev.1

v2.2.1+rs.1

v2.2.0+rs.1

v2.1.9+rs.1

v2.1.8+rs.1

v2.1.8-rs.dev5

v2.1.8-rs.dev4

v2.1.8-rs.dev3

v2.1.8-rs.dev2

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

2 participants

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

gofix/portal-tunnel-rs#34

No description provided.