前言

Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件,还有 kubeconfig 文件。

如果证书过期,轻则无法登录 Kubernetes 集群,重则整个集群异常。

为了解决证书过期的问题,一般有以下几种方式:

  1. 大幅延长证书有效期,短则 10年,长则 100 年;
  2. 证书快过期是自动轮换,如 Rancher 的 K3s,RKE2 就采用这种方式;
  3. 增加证书过期的监控,便于提早发现证书过期问题并人工介入

本次主要介绍关于 Kubernetes 集群证书过期的监控,这里提供 3 种监控方案:

  1. 使用 Blackbox Exporter 通过 Probe 监控 Kubernetes apiserver 证书过期时间;
  2. 使用 kube-prometheus-stack 通过 apiserver 和 kubelet 组件监控获取相关证书过期时间;
  3. 使用 enix 的 x509-certificate-exporter监控集群所有node的 /etc/kubernetes/pki/var/lib/kubelet 下的证书以及 kubeconfig 文件

方案一: Blackbox Exporter 监控 Kubernetes apiserver 证书过期时间

Blackbox Exporter 用于探测 HTTPS、HTTP、TCP、DNS、ICMP 和 grpc 等 Endpoint。在你定义 Endpoint 后,Blackbox Exporter 会生成指标,可以使用 Grafana 等工具进行可视化。Blackbox Exporter 最重要的功能之一是测量 Endpoint 的可用性。

当然, Blackbox Exporter 探测 HTTPS 后就可以获取到证书的相关信息, 就是利用这种方式实现对 Kubernetes apiserver 证书过期时间的监控.

配置步骤

  1. 调整 Blackbox Exporter 的配置, 增加 insecure_tls_verify: true, 如下:

  2. 重启 blackbox exporter: kubectl rollout restart deploy ...

  3. 增加对 Kubernetes APIServer 内部端点https://kubernetes.default.svc.cluster.local/readyz的监控.

    1. 如果你没有使用 Prometheus Operator, 使用的是原生的 Prometheus, 则需要修改 Prometheus 配置文件的 configmap 或 secret, 添加 scrape config, 示例如下:

    2. 如果在使用 Prometheus Operator, 则可以增加如下 Probe CRD, Prometheus Operator 会自动将其转换并 merge 到 Prometheus 中.

apiVersion: monitoring.coreos.com/v1

kind: Probe

metadata:

  name: kubernetes-apiserver

spec:

  interval: 60s

  module: http_2xx

  prober:

    path: /probe

    url: monitor-prometheus-blackbox-exporter.default.svc.cluster.local:9115

  targets:

    staticConfig:

      static:

      - https://kubernetes.default.svc.cluster.local/readyz

最后, 可以增加 Prometheus 告警 Rule, 这里就直接用 Prometheus Operator 创建 PrometheusRule CRD 做示例了, 示例如下:

apiVersion: monitoring.coreos.com/v1

kind: PrometheusRule

metadata:

  name: prometheus-blackbox-exporter

spec:

  groups:

  - name: prometheus-blackbox-exporter

    rules:

    - alert: BlackboxSslCertificateWillExpireSoon

      expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 30

      for: 0m

      labels:

        severity: warning

    - alert: BlackboxSslCertificateWillExpireSoon

      expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 14

      for: 0m

      labels:

        severity: critical

    - alert: BlackboxSslCertificateExpired

      annotations:

        description: |-

          SSL certificate has expired already

            VALUE = {{ $value }}

            LABELS = {{ $labels }}

        summary: SSL certificate expired (instance {{ $labels.instance }})

      expr: probe_ssl_earliest_cert_expiry - time() <= 0

      for: 0m

      labels:

        severity: emergency

效果

方案二: kube-prometheus-stack 通过 apiserver 和 kubelet 组件监控证书过期时间

这里可以参考我的文章:Prometheus Operator 与 kube-prometheus 之二 - 如何监控 1.23+ kubeadm 集群, 安装完成后, 开箱即用.

开箱即用内容包括:

  1. 抓取 apiserver 和 kubelet 指标;(即 serviceMonitor)
  2. 配置证书过期时间的相关告警; (即 PrometheusRule)

这里用到的指标有:

  1. apiserver

    1. apiserver_client_certificate_expiration_seconds_count
    2. apiserver_client_certificate_expiration_seconds_bucket
  2. kubelet
    1. kubelet_certificate_manager_client_expiration_renew_errors
    2. kubelet_server_expiration_renew_errors
    3. kubelet_certificate_manager_client_ttl_seconds
    4. kubelet_certificate_manager_server_ttl_seconds

监控效果

对应的 Prometheus 告警规则如下:

方案三: 使用 enix 的 x509-certificate-exporter

监控手段

该 Exporter 是通过监控集群所有node的指定目录或 path 下的证书文件以及 kubeconfig 文件来获取证书信息.

如果是使用 kubeadm 搭建的 Kubernetes 集群, 则可以监控如下包含证书的文件和 kubeconfig:

watchFiles:

- /var/lib/kubelet/pki/kubelet-client-current.pem

- /etc/kubernetes/pki/apiserver.crt

- /etc/kubernetes/pki/apiserver-etcd-client.crt

- /etc/kubernetes/pki/apiserver-kubelet-client.crt

- /etc/kubernetes/pki/ca.crt

- /etc/kubernetes/pki/front-proxy-ca.crt

- /etc/kubernetes/pki/front-proxy-client.crt

- /etc/kubernetes/pki/etcd/ca.crt

- /etc/kubernetes/pki/etcd/healthcheck-client.crt

- /etc/kubernetes/pki/etcd/peer.crt

- /etc/kubernetes/pki/etcd/server.crt

watchKubeconfFiles:

- /etc/kubernetes/admin.conf

- /etc/kubernetes/controller-manager.conf

- /etc/kubernetes/scheduler.conf

安装配置

编辑 values.yaml:

kubeVersion: ''

extraLabels: {}

nameOverride: ''

fullnameOverride: ''

imagePullSecrets: []

image:

  registry: docker.io

  repository: enix/x509-certificate-exporter

  tag:

  pullPolicy: IfNotPresent

psp:

  create: false

rbac:

  create: true

  secretsExporter:

    serviceAccountName:

    serviceAccountAnnotations: {}

    clusterRoleAnnotations: {}

    clusterRoleBindingAnnotations: {}

  hostPathsExporter:

    serviceAccountName:

    serviceAccountAnnotations: {}

    clusterRoleAnnotations: {}

    clusterRoleBindingAnnotations: {}

podExtraLabels: {}

podAnnotations: {}

exposePerCertificateErrorMetrics: false

exposeRelativeMetrics: false

metricLabelsFilterList: null

secretsExporter:

  enabled: true

  debugMode: false

  replicas: 1

  restartPolicy: Always

  strategy: {}

  resources:

    limits:

      cpu: 200m

      memory: 150Mi

    requests:

      cpu: 20m

      memory: 20Mi

  nodeSelector: {}

  tolerations: []

  affinity: {}

  podExtraLabels: {}

  podAnnotations: {}

  podSecurityContext: {}

  securityContext:

    runAsUser: 65534

    runAsGroup: 65534

    readOnlyRootFilesystem: true

    capabilities:

      drop:

        - ALL

  secretTypes:

    - type: kubernetes.io/tls

      key: tls.crt

  includeNamespaces: []

  excludeNamespaces: []

  includeLabels: []

  excludeLabels: []

  cache:

    enabled: true

    maxDuration: 300

hostPathsExporter:

  debugMode: false

  restartPolicy: Always

  updateStrategy: {}

  resources:

    limits:

      cpu: 100m

      memory: 40Mi

    requests:

      cpu: 10m

      memory: 20Mi

  nodeSelector: {}

  tolerations: []

  affinity: {}

  podExtraLabels: {}

  podAnnotations: {}

  podSecurityContext: {}

  securityContext:

    runAsUser: 0

    runAsGroup: 0

    readOnlyRootFilesystem: true

    capabilities:

      drop:

        - ALL

  watchDirectories: []

  watchFiles: []

  watchKubeconfFiles: []

  daemonSets:

    cp:

      nodeSelector:

        node-role.kubernetes.io/master: ''

      tolerations:

        - effect: NoSchedule

          key: node-role.kubernetes.io/master

          operator: Exists

      watchFiles:

        - /var/lib/kubelet/pki/kubelet-client-current.pem

        - /etc/kubernetes/pki/apiserver.crt

        - /etc/kubernetes/pki/apiserver-etcd-client.crt

        - /etc/kubernetes/pki/apiserver-kubelet-client.crt

        - /etc/kubernetes/pki/ca.crt

        - /etc/kubernetes/pki/front-proxy-ca.crt

        - /etc/kubernetes/pki/front-proxy-client.crt

        - /etc/kubernetes/pki/etcd/ca.crt

        - /etc/kubernetes/pki/etcd/healthcheck-client.crt

        - /etc/kubernetes/pki/etcd/peer.crt

        - /etc/kubernetes/pki/etcd/server.crt

      watchKubeconfFiles:

        - /etc/kubernetes/admin.conf

        - /etc/kubernetes/controller-manager.conf

        - /etc/kubernetes/scheduler.conf

    nodes:

      watchFiles:

        - /var/lib/kubelet/pki/kubelet-client-current.pem

        - /etc/kubernetes/pki/ca.crt

rbacProxy:

  enabled: false

podListenPort: 9793

hostNetwork: false

service:

  create: true

  port: 9793

  annotations: {}

  extraLabels: {}

prometheusServiceMonitor:

  create: true

  scrapeInterval: 60s

  scrapeTimeout: 30s

  extraLabels: {}

  relabelings: {}

prometheusPodMonitor:

  create: false

prometheusRules:

  create: true

  alertOnReadErrors: true

  readErrorsSeverity: warning

  alertOnCertificateErrors: true

  certificateErrorsSeverity: warning

  certificateRenewalsSeverity: warning

  certificateExpirationsSeverity: critical

  warningDaysLeft: 30

  criticalDaysLeft: 14

  extraLabels: {}

  alertExtraLabels: {}

  rulePrefix: ''

  disableBuiltinAlertGroup: false

  extraAlertGroups: []

extraDeploy: []

通过 Helm Chart 安装:

helm repo add enix https://charts.enix.io

helm install x509-certificate-exporter enix/x509-certificate-exporter

通过这个 Helm Chart 也会自动安装:

  • ServiceMonitor
  • PrometheusRule

其监控指标为:

  • x509_cert_not_after

监控效果

该 Exporter 还提供了一个比较花哨的 Grafana Dashboard, 如下:

Alert Rules 如下:

总结

为了监控 Kubernetes 集群的证书过期时间, 我们提供了 3 种方案, 各有优劣:

  1. 使用 Blackbox Exporter 通过 Probe 监控 Kubernetes apiserver 证书过期时间;

    1. 优势: 实现简单;
    2. 劣势: 只能监控 https 的证书;
  2. 使用 kube-prometheus-stack 通过 apiserver 和 kubelet 组件监控获取相关证书过期时间;
    1. 优势: 开箱即用, 安装 kube-prometheus-stack 后无需额外安装其他 exporter
    2. 劣势: 只能监控 apiserver 和 kubelet 的证书;
  3. 使用 enix 的 x509-certificate-exporter监控集群所有node的 /etc/kubernetes/pki/var/lib/kubelet 下的证书以及 kubeconfig 文件
    1. 优势: 可以监控所有 node, 所有 kubeconfig 文件, 以及 所有 tls 格式的 secret 证书, 如果要监控 Kubernetes 集群以外的证书, 也可以如法炮制; 范围广而全;
    2. 需要额外安装: x509-certificate-exporter, 对应有 1 个 Deployment 和 多个 DaemonSet, 对 Kubernetes 集群的资源消耗不少.

可以根据您的实际情况灵活进行选择.

️参考文档

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

监控Kubernetes集群证书过期时间的三种方案的更多相关文章

  1. kubernetes集群证书过期之后--转发

    步骤 如果有多master,需要在每个master上进行以下操作. 需要进行以下步骤 重新生成证书 重新生成对应的配置文件 重启docker 和 kubelet 拷贝kubectl 客户端文件 [ro ...

  2. kubernetes集群证书更新

    kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. ...

  3. Kubernetes集群部署史上最详细(二)Prometheus监控Kubernetes集群

    使用Prometheus监控Kubernetes集群 监控方面Grafana采用YUM安装通过服务形式运行,部署在Master上,而Prometheus则通过POD运行,Grafana通过使用Prom ...

  4. k8s集群证书过期(kubeadm 1.10.2 )

    1.k8s 集群架构描述 kubeadm v1.10.2创建k8s集群. master节点高可用,三节点(10.18.60.3.10.18.60.4.10.18.60.5). LVS实现master三 ...

  5. CentOS集群自动同步时间的一种方法

    CentOS集群自动同步时间的一种方法 之前有篇日志是手动同步时间的 http://www.ahlinux.com/os/201304/202456.html 之所以这么干,是因为我们实验室的局域网只 ...

  6. k8s kubernetes 集群 证书更新操作

    转载自https://www.cnblogs.com/kuku0223/p/12978716.html 1. 各个证书过期时间 /etc/kubernetes/pki/apiserver.crt #1 ...

  7. 监控 Kubernetes 集群应用

    Prometheus的数据指标是通过一个公开的 HTTP(S) 数据接口获取到的,我们不需要单独安装监控的 agent,只需要暴露一个 metrics 接口,Prometheus 就会定期去拉取数据: ...

  8. Rancher2.x 一键式部署 Prometheus + Grafana 监控 Kubernetes 集群

    目录 1.Prometheus & Grafana 介绍 2.环境.软件准备 3.Rancher 2.x 应用商店 4.一键式部署 Prometheus 5.验证 Prometheus + G ...

  9. 如何处理 Kubeadm 搭建的集群证书过期问题

    Kubeadm 证书过期处理 以下内容参考了如下链接:https://www.cnblogs.com/skymyyang/p/11093686.html 一.处理证书已过期的集群 使用 kubeadm ...

  10. 部署prometheus监控kubernetes集群并存储到ceph

    简介 Prometheus 最初是 SoundCloud 构建的开源系统监控和报警工具,是一个独立的开源项目,于2016年加入了 CNCF 基金会,作为继 Kubernetes 之后的第二个托管项目. ...

随机推荐

  1. Elasticsearch:定制分词器(analyzer)及相关性

    转载自:https://elasticstack.blog.csdn.net/article/details/114278163 在许多的情况下,我们使用现有的分词器已经足够满足我们许多的业务需求,但 ...

  2. STM32F0单片机基于Hal库温控智能风扇

    一.项目概述 设计采用STM32F0系列单片机做主控芯片,通过DHT11采集温湿度,将温度显示在OLED 屏幕上.根据温度的不同,利用STM32对风扇进行调速,总体硬件设计如下图所示 1.效果展示 2 ...

  3. MySQL学习(3)---MySQL常用命令

    ps:此随笔基于mysql 5.7.*版本. 准备 net start mysql 启动MySQL服务 net stop mysql 关闭MySQL服务 mysql [-h<IP地址>] ...

  4. 洛谷P4304 TJOI2013 攻击装置 (二分图匹配)

    题目大意:一个矩阵,一些点被拿掉,在棋盘上马走日,马之间不能落在同一点,求最多放几匹马. 采用对矩阵黑白染色,画个图可以发现:马可以走到的位置和他所处的位置颜色不同,将马和他可以走到的位置连边,最多可 ...

  5. SpringBoot 自定义注解 实现多数据源

    SpringBoot自定义注解实现多数据源 前置学习 需要了解 注解.Aop.SpringBoot整合Mybatis的使用. 数据准备 基础项目代码:https://gitee.com/J_look/ ...

  6. CEOI2020 道路(Roads) Solution

    直接来构造. 考虑扫描线.从左到右扫,考虑当前扫到了一个左端点,我们把这个左端点连到其他点上. 我们可以找到这个点下方离他最近的线段,并且记下每条线段上方在扫描线左侧且最靠右,与这条线段中间没有其他线 ...

  7. rowkey设计原则和方法

    rowkey设计首先应当遵循三大原则: 1.rowkey长度原则 rowkey是一个二进制码流,可以为任意字符串,最大长度为64kb,实际应用中一般为10-100bytes,它以byte[]形式保存, ...

  8. 成功解决:Can‘t find Python executable “python“, you can set the PYTHON env variable.

    今天跑公司新项目的时候.运行前端vue.报了一个关于python的错误.就离谱 1.问题报错全部代码 actual version of core-js. npm ERR! code 1 npm ER ...

  9. 动词时态=>4.将来时态和过去将来时态构成详解

    将来时态构成详解 使用助动词will构成的将来时态 一般将来时态 与一般过去时态相反(时间上) 如果说 一般过去,我们将其当做一张照片 从这张照片当中,我们无法得知 动作什么时候开始 什么时候结束 只 ...

  10. NLP之TextRNN(预测下一个单词)

    TextRNN @ 目录 TextRNN 1.基本概念 1.1 RNN和CNN的区别 1.2 RNN的几种结构 1.3 多对多的RNN 1.4 RNN的多对多结构 1.5 RNN的多对一结构 1.6 ...