ssl - 有没有办法使用 prometheus 监控 kubernetes 中的 tls 证书？

Question

我想使用 Prometheus 在 Kubernetes 中监控我的 tls 证书，并在 grafana 中获取仪表板。我想监控它们的到期时间，并希望在证书将在 30 天内到期时收到警报。我做了很多研究，终于找到了https://github.com/enix/x509-exporter .我该如何使用它？还有其他有效的方法来监控证书的到期吗？

Answer 1

免责声明:这个我没试过x509-exporter .只是根据我的理解给出建议。
自述文件似乎有点不对劲。你需要做的第一件事是创建一个github问题，不用担心我提出了一个here .
我根据我的理解列出了步骤并引用 usage section .

使用他们的official docker image并将其部署为 k8s 上的部署。

检查示例 k8s yaml 文件以创建部署。另请注意，部署 yaml 应挂载存储所有 k8s 证书的主机目录。

根据 documentation , 通常证书位于 /etc/kubernetes/pki .

部署 yaml 应包含 command您将导出器指向证书所在的目录以及其他必要的选项。像这样

command: ["x509-exporter"]
args: ["-d", "/etc/kubernetes/pki", "-p", "8091", "--debug"]

注:这里我在端口 8091 上以 Debug模式运行 exporter，记得公开这个端口。

在 prometheus 配置中，添加 x509-exporter 端点作为目标以抓取指标并通过在 Grafana 仪表板中创建图表来绘制这些指标。