Но если нужно, в TF есть поддержка LE, откуда их можно переслать куда нужно.
Проблема только раз в месяц запускать терраформ чтобы их перевыпустить, после чего я и передумал его использовать.

Ну или заморачиваться с ламбдой которая будет делать то же самое, мне не понравилось такое решение, короче.

Если вы заказываете сертификаты сразу в ACM, а не используете cert-manager + let's encrypt, то это не мой кейс и я не вижу смысла использовать связку nlb + nginx ingress controller (кроме привычки его использовать или может у вас multicloud и вы не хотите делать конфигурацию vendor locked или много хитрых давно написанных rewrite'ов).

У вас уже есть certificate arn, который отлично доступен и может быть прописан в аннотации ingress'а, поэтому я бы использовал alb + aws-ingress-controller.

export CERTIFICATE_ARN=$(aws acm list-certificates --query CertificateSummaryList[].[CertificateArn,DomainName] --output text | grep "$HOST" | cut -f1 | head -n 1)
kubectl annotate --overwrite ingress $APP alb.ingress.kubernetes.io/certificate-arn=$CERTIFICATE_ARN

Он даже теперь умеет группировать ingress'ы по группам, чтобы одна группа могла использовать один ALB, а не для каждого отдельный заказывать (и соответственно платить за каждый), как было раньше. Прекрасно работает.

ALB + WAF и всякие другие штуки управляется отдельно глобально и централизовано. NLB или другие приватные балансировщики в разных проектах разные и управляются самими проектами.

enterprise такой enterprise

По мне так ротация сертификатов раз в 3 месяца - это хорошее решение. В ACM они на год выпускаются? И потом при перевыпуске в ACM у сертификата меняется arn, т.е. его нужно всё равно обновлять в аннотации ingress'а или alb, пусть и не раз в 3 месяца, но всё же нужно запускать terraform для этого.

Как не особо геморно собрать зависимости для deb, чтобы скормить машине, которая отключена от сети?

Dpkg и вот это все по списку

Не подумайте, что я это от нечего делать) сьезжаем с монолита, который с 14 года не обновляли)

а собрать в плане опакетить или выкачать уже пакеты из репы?

И да, там не то чтобы сети нет. Она есть, но там ссыкоино что либо ставить, ибо однажды на копии все сломалось после апгрейда.

Готовые скрипты есть.

Не силен в этом. Опакетить -собрать в единый деб?

Если так, то шикарно.


Если все кучкой, то тоже можно, если там не 20 и более файлов.

Я умею только dpgk i и все)

Что гуглить?

не-не. в плане вы хотите выкачать из существующего репозитория какой-то deb пакет со всеми его зависимостями, перенести это всё добро на другую тачку (хоть на флешке) и установить?

Да

Nfs server надо поднять.

Хочу смонтировать шару на другом сервере и забрать добро на новый.

тогда наверное смотреть в сторону apt --download-only, потом в директории с кешем их извлечь, перенести на тачку и там поставить уже с помощью dpkg -i

если готовые скрипты уже есть для этого, то крутяк (а они скорее всего уже есть)