证书很难跟踪,对管理员来说也不透明,如果任何证书过期而没有人注意到,就会发生令人尴尬的停机。在Grbob电竞频道afana实验室,我们努力使所有的事物可见和可观察;为什么证书应该例外呢?
在这篇文章中,我们将探索一种使用Grafana和Prometheus暴露和监视证书过期的简单方法。
我最近生成了一些etcd客户端证书供集群中的其他应用程序使用,但我意识到我没有办法观察这些证书的过期时间。
就像大多数东西一样普罗米修斯世界上,有一种即食出口国确实的事情。不幸的是,在本例中,导出器只支持我想公开的证书的一个子集。磁盘上的客户端证书呢?还是在Kubernetes的秘密中?这些非常重要的信息是黑匣子出口商无法获取的。
cert-exporter去营救!我专门设计了这个导出器来公开黑盒导出器无法处理的证书信息。即:
- x509证书在PEM格式的磁盘上;
- kubeconfig文件中嵌入或引用的证书;而且
- certs存储在Kubernetes的秘密。这支持诸如cert-manager.
特别地,这些特性帮助我们跟踪a中使用的所有证书kops-basedKubernetes集群。因此,我们可以自信地在出现任何问题之前很好地安排证书轮换。
回购中还包含花式Grafana仪表盘这清楚地显示了证书出口商正在监视的证书列表。它目前的设置是用橙色和红色突出显示即将到期的证书,但当然这都是可定制的。证书导出器还发布一个显示在仪表板顶部的错误计数器。
更多信息
查看自述欲了解更多详情,请拉cert-exporter今天就开始吧!
