目前ssl 证书大多有效期只有一年，所以每年都要更换一次，有些是配置在nginx上的，有些配置在k8s的ingress上，还有些在业务层使用的。从dns运营商哪里导出dns记录，然后用脚本批量跑扫描，大多数是443端口，有些使用的非标端口，需要单独确认端口后再跑一次。最好是在分配证书使用时在cmdb里记录好使用域名和端口，方便后续更新时直接获取到。failed代表命令执行失败，需要区分是否有其他端

然后用kustomize管理不同应用、不同环境的values.yaml，这样可以保证相同的部分只配置一份，每个实例只需要覆盖或者移除自己不需要的配置。随着k8s的弹性能力和调度能力的发展，越来越多的业务接入了k8s部署，但是基于k8s部署带来的yaml资源文件维护却成了运维工作中比较重的负担。基于cmdb + 规则引擎的yaml配置管理,比如引入istio、挂载pvc等只需要在cmdb里配置相应的