kubectl-view-cert: 一款超实用 Kubernetes SSL 证书管理工具

最新推荐文章于 2024-05-20 09:56:12 发布
最新推荐文章于 2024-05-20 09:56:12 发布
阅读量488 收藏
点赞数
文章标签: kubernetes ssl linux 容器 云原生
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247524850&idx=1&sn=cf87974149a574e6f676cf175243ae49&chksm=eac640dbddb1c9cdefc8f8c44f85223fef241308ca79c55785ead0bcde20c03554152828a08c&scene=126&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

09f1970c112b40ee0bc680bf5f6d359a.png


先描述下场景,当一个kubernetes集群中有大量的应用创建了声明tls类型的ingress资源时,维护这个tls的secret工作将变得异常繁琐。特别是当证书即将过期需要替换时,运维不得不挨个检查一遍,整个过程需要非常细致且麻烦,通常它的流程经过下面阶段:

  • 遍历namespaces下的secret

  • 用base64将私钥decode出来

  • 再用 openssl x509 -noout -text -in <私钥>查看证书信息

平时证书少还能应付,当证书变得很多就比较烦人了。所幸,kubectl-view-cert这个插件可以简化上述步骤。安装这个插件直接执行下述命令即可:

$ kubectl krew install view-cert

kubectl-view-cert使用

kubectl-view-cert有几个非常好用的参数介绍给大家:

-A, --all-namespaces 查询所有命名空间的tls证书

-E, --expired  只显示已经过期的tls证书

-D, --expired-days-from-now int  显示当前时间之后N天过期的证书

-S, --show-ca 显示CA证书,如果有的话

这两天,我用得最多查询是遍历集群下所有tls已经过期的secret

$ kubectl view-cert -A -E
02cd750beb715f43562af2076f0c2d75.png

另外一个就是遍历集群下所有tls还剩180天到期的secret

$ kubectl view-cert -A -E -D 180

6b5952be88f9db8b6dbc333eb061dcfe.png

总之,kubectl-view-cert帮我节省了大量的时间,值得推荐给大家,让更多人的看到😄

本文转载自:「云原生小白」,原文:https://url.hi-linux.com/7IuCC,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

18b25371868163cf2613b97c5a0a6413.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

1b41d1a0229ceaf8fdd87161a18f3162.png

你可能还喜欢

点击下方图片即可阅读

bf97f198c8c46cf65b64386a5500d423.png

如何使用 cri-docker 解决 Kubernetes 1.24 不支持 docker 的问题

c2d57bb69f44ee7bb6ecfc705e718d3d.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

3117a189c776e673626cfc067f719a61.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
证书管理工具
04-16
一个很好用的数字证书开发工具,可以生成自签名证书SSL证书,可以选择MD5,sha1(2)的加密算法
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
OVH Webhook证书管理器这是的webhook解决器。先决条件版本0.11.0或更高版本(使用0.12.0进行测试):安装选择一个唯一的组名来标识您的公司或组织(例如acme.mycompany.example )。 helm install ./deploy/cert-...
一款免费且好用的SSL证书管理工具(OHTTPS)
Chimengmeng的博客
09-05 697
【一】自建站SSL证书的痛点 【1】引言 自己瞎折腾,搭建了一个个人的博客平台(https://lupf.cn);作为程序员,B格还是得有的,因此,SSL证书也就必须得安排上呢,不然一访问,显示不安全的链接,有点丢不起那个人。 可是,各大云平台的免费SSL证书,都只支持二级域名,没办法配置泛域名,导致每添加一个二级域名,就得新申请一个SSL证书,假如都到期了话,就得全部重新申请一遍,重新配置一...
推荐使用Kubernetes Certificate Manager - 自动化证书管理的利器
gitblog_00067的博客
05-20 265
推荐使用Kubernetes Certificate Manager - 自动化证书管理的利器 项目地址:https://gitcode.com/PalmStoneGames/kube-cert-manager 1、项目介绍 Kubernetes Certificate Manager(简称kcm)是一款已被广泛应用的开源工具,它主要负责自动化管理Kubernetes集群中的TLS秘密,这些秘密通...
推荐一款强大的SSL证书管理工具——letsencrypt-heroku(已弃用)
最新发布
gitblog_00087的博客
05-20 276
推荐一款强大的SSL证书管理工具——letsencrypt-heroku(已弃用) 项目地址:https://gitcode.com/substrakt/letsencrypt-heroku 请注意,这个项目已经不再维护,Heroku现在提供了自动证书管理服务,建议您使用官方的最新方案。 让我们一起进入一个全安全互联网的世界。在免费SSL和Heroku提供免费SSL端点的时代,letsencry...
OHTTPS,一款免费且好用的SSL证书管理工具
一行Java的博客
10-19 6147
自建站SSL证书的痛点 自己瞎折腾,搭建了一个个人的博客平台(https://lupf.cn);作为程序员,B格还是得有的,因此,SSL证书也就必须得安排上呢,不然一访问,显示不安全的链接,有点丢不起那个人。可是,各大云平台的免费SSL证书,都只支持二级域名,没办法配置泛域名,导致每添加一个二级域名,就得新申请一个SSL证书,假如都到期了话,就得全部重新申请一遍,重新配置一遍,着实麻烦;如果要使用泛域名,就得付费购买,一年小几千的;而对于白嫖党,花这笔几K的费用,着实有点不划算;因此就盯上了Let’s E.
推荐一款强大的自动化SSL证书管理工具:acmetool
gitblog_00052的博客
03-24 334
推荐一款强大的自动化SSL证书管理工具:acmetool 项目地址:https://gitcode.com/hlandau/acmetool 项目简介 acmetool 是一个轻量级、自动化的ACME协议客户端,由Harrison Landau开发。该项目的目标是简化Let's Encrypt等提供免费SSL证书的服务的使用流程,使用户可以更方便地管理和更新他们的数字证书。 技术分析 acmeto...
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus Exporter,它能够收集证书的过期时间、颁发者、主题等信息,并将这些指标暴露给Prometheus进行抓取,进而可以通过Grafana等可视化工具展示出来,及时...
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
check-cert-expiration:查询SSLTLS服务器并报告其证书的到期日期
05-02
查询SSL / TLS服务器并报告其证书到期时间。 安装 npm install --global check-cert-expiration # for the command line utility npm install --save check-cert-expiration # for the library function 命令行界面 ...
ssl-cert-check:SSL证书即将到期时发送通知
05-04
ssl-cert-check是一个Bourne shell脚本,可用于报告SSL证书过期。 该脚本旨在从cron运行,并且可以通过nagios发送电子邮件警告或记录警报。 用法: $ ./ssl-cert-check Usage: ./ssl-cert-check [ -e email ...
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 270
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes中自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
Kubernetes apiserver 认证 —— X509证书
i余数的博客
06-02 442
Kubernetes apiserver 认证之“X509证书认证”
利用kubeconfig文件生成证书,用curl命令访问Kubernetes API server
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-22 4301
kubectl 通过访问 Kubernetes API 来执行命令。我们也可以通过对应的TLS key, 使用curl 或是 golang client做同样的事。 API 请求必须使用 JSON 格式来发送。 kubectl 的作用是将 .yaml 转换为 JSON 格式进行 API 请求。 配置 TLS 连接 1、我们从查看 kubectl 的配置文件开始,需要:三个证书和 API serve...
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 943
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
k8s部署cert-manager实现证书自动化
weixin_44692256的博客
08-28 3787
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
kubeadm部署的k8s1.29集群证书更新
wuxingge的博客
04-01 497
更新证书后。
kubectl--命令技巧总结
qq_43541622的博客
07-20 297
Kubectl 上下文和配置 设置 kubectl 命令交互的 kubernetes 集群并修改配置信息。参阅 使用 kubeconfig 文件进行跨集群验证 获取关于配置文件的详细信息。 $ kubectl config view # 显示合并后的 kubeconfig 配置 # 同时使用多个 kubeconfig 文件并查看合并后的配置 $ KUBECONFIG=~/.kube/config:~/.kube/kubconfig2 kubectl config view # 获取 e2e 用户的密码
apiVersion: kubeadm.k8s.io/v1beta3 kind: ClusterConfiguration kubernetesVersion: 1.23.1 # 控制平面组件配置 controlPlaneEndpoint: "kubernetes.example.com:6443" # 控制平面节点的访问地址 etcd: external: endpoints: - https://etcd1.example.com:2379 - https://etcd2.example.com:2379 - https://etcd3.example.com:2379 caFile: /etc/kubernetes/pki/etcd/ca.crt certFile: /etc/kubernetes/pki/etcd/server.crt keyFile: /etc/kubernetes/pki/etcd/server.key networking: podSubnet: 10.244.0.0/16 # Pod 网络子网段 apiServer: extraArgs: enable-admission-plugins: "NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota" service-account-issuer: kubernetes.default.svc service-account-key-file: /etc/kubernetes/pki/sa.key controllerManager: extraArgs: cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt cluster-signing-key-file: /etc/kubernetes/pki/ca.key scheduler: extraArgs: address: 0.0.0.0 dns: type: CoreDNS --- apiVersion: kubeadm.k8s.io/v1beta3 kind: InitConfiguration localAPIEndpoint: advertiseAddress: 172.31.186.226 bindPort: 6443 --- apiVersion: kubelet.config.k8s.io/v1beta1 kind: KubeletConfiguration cgroupDriver: systemd
07-15
这是一个 Kubernetes 集群配置文件的示例,包含了 ClusterConfiguration、InitConfiguration 和 KubeletConfiguration 三个部分。 ClusterConfiguration 部分包含了一些关键的集群配置选项: - `apiVersion: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值