---
# ─────────────────────────────────────────────────────────────────────────────
# k3s-certs: установка systemd таймера автоматической ротации сертификатов K3S
#
# K3S выпускает сертификаты сроком на 1 год. Этот плейбук устанавливает
# systemd таймер, который автоматически проверяет и обновляет сертификаты
# до их истечения, обеспечивая бесперебойную работу кластера.
#
# Настройка:
#   k3s_cert_validity_years: 5          — желаемый срок жизни без вмешательства
#   k3s_cert_rotate_before_days: 90     — ротация за N дней до истечения
#   k3s_cert_check_schedule: "monthly"  — расписание проверки (systemd OnCalendar)
#
# Запуск: ansible-playbook playbooks/k3s-certs.yml --ask-vault-pass
# ─────────────────────────────────────────────────────────────────────────────

- name: Setup K3S certificate auto-rotation
  hosts: k3s_cluster
  gather_facts: true
  become: true
  roles:
    - role: k3s-certs