Kubernetes 证书监控--x509-certificate-exporter

原创 已于 2025-11-14 16:29:16 修改 · 2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes

于 2025-09-23 17:53:45 首次发布

有部分读者可能听说过 ssl-exporter 这个项目,它能提供多种针对 SSL 的检测手段,包括:HTTPS 证书、文件证书、Kubernetes Secret、Kubeconfig 文件。从功能上来看,它基本可以满足上述需求,但它的指标还不够丰富,本文将介绍一个更为强大的 Prometheus Exporter:x509-certificate-exporter

与 ssl-exporter 不同,x509-certificate-exporter 只专注于监控 Kubernetes 集群相关的证书,包括各个组件的文件证书、Kubernetes TLS Secret、Kubeconfig 文件,而且指标更加丰富。我们来看看在 KubeSphere 中如何部署 x509-certificate-exporter 以监控集群的所有证书。它能够帮助用户及时发现证书过期问题,确保系统的安全性和稳定性。

在 Kubernetes 环境中,x509-certificate-exporter 可以无缝集成,监控集群内所有证书的状态,确保集群的安全运行。

监控手段

使用enix 的 x509-certificate-exporter监控集群所有 node 的/etc/kubernetes/pki/var/lib/kubelet下的证书以及 kubeconfig文件

  1. 优势: 可以监控所有 node, 所有 kubeconfig 文件, 以及 所有 tls 格式的 secret 证书, 如果要监控 Kubernetes 集群以外的证书,也可以如法炮制,范围广而全。
  2. 需要额外安装: x509-certificate-exporter, 对应有 1 个 Deployment 和 多个 DaemonSet, 对 Kubernetes 集群的资源消耗不少。

该 Exporter 是通过监控集群所有 node 的指定目录或 path 下的证书文件以及 kubeconfig 文件来获取证书信息。

如果是使用 kubeadm 搭建的 Kubernetes 集群,则可以监控如下包含证书的文件和 kubeconfig:

watchFiles:
- /var/lib/kubelet/pki/kubelet-client-current.pem
- /etc/kubernetes/pki/apiserver.crt
- /etc/kubernetes/pki/apiserver-etcd-client.crt
- /etc/kubernetes/pki/apiserver-kubelet-client.crt
- /etc/kubernetes/pki/ca.crt
- /etc/kubernetes/pki/front-proxy-ca.crt
- /etc/kubernetes/pki/front-proxy-client.crt
- /etc/kubernetes/pki/etcd/ca.crt
- /etc/kubernetes/pki/etcd/healthcheck-client.crt
- /etc/kubernetes/pki/etcd/peer.crt
- /etc/kubernetes/pki/etcd/server.crt
watchKubeconfFiles:
- /etc/kubernetes/admin.conf
- /etc/kubernetes/controller-manager.conf
- /etc/kubernetes/scheduler.conf
YAML

下载并解压Chart包

https://github.com/enix/x509-certificate-exporter/tree/main

根据实际情况修改values.yaml,Chart.yaml  其他配置可不做修改

修改 Chart.yaml 里面版本号信息

[root@k8s-uat-m01 x509-certificate-exporter]# cat Chart.yaml 
version: '3.19.1'
appVersion: '3.19.1'
........................................

拉取镜像的地址,国内镜像源:

https://docker.aityp.com/image/docker.io/enix/x509-certificate-exporter:3.19.1https://docker.aityp.com/image/docker.io/enix/x509-certificate-exporter:3.19.1

Docker拉取命令

docker pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/enix/x509-certificate-exporter:3.19.1
docker tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/enix/x509-certificate-exporter:3.19.1  docker.io/enix/x509-certificate-exporter:3.19.1

Containerd拉取命令

ctr images pull swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/enix/x509-certificate-exporter:3.19.1
ctr images tag  swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/enix/x509-certificate-exporter:3.19.1  docker.io/enix/x509-certificate-exporter:3.19.1

修改values.yaml地址

# 修改为镜像名称,默认是Chart中的appVersion  
# 修改仓库名称


image:
  # -- x509-certificate-exporter image registry
  registry: swr.cn-north-4.myhuaweicloud.com
  # -- x509-certificate-exporter image repository
  repository: ddn-k8s/docker.io/enix/x509-certificate-exporter
--------------------------------------------------------------------------

# 节点标签,根据实际情况调整,基本也不用修改
# 容忍,根据实际情况调整,基本也不用修改
# 证书所在目录,根据实际情况调整


  # -- Additional environment variables for container
  env: []
  # - name: GOMAXPROCS
  #   value: "1"

  # -- [SEE README] Map to define one or many DaemonSets running hostPath exporters. Key is used as a name ; value is a map to override all default settings set by `hostPathsExporter.*`.
  daemonSets: 
    master:
      nodeSelector:
        node-role.kubernetes.io/control-plane: ""
      tolerations:
      - effect: NoSchedule
        key:  node-role.kubernetes.io/control-plane
        operator: Exists
      watchFiles:
      - /etc/kubernetes/pki/apiserver.crt
      - /etc/kubernetes/pki/apiserver-etcd-client.crt
      - /etc/kubernetes/pki/apiserver-kubelet-client.crt
      - /etc/kubernetes/pki/ca.crt
      - /etc/kubernetes/pki/front-proxy-ca.crt
      - /etc/kubernetes/pki/front-proxy-client.crt
 # 配置文件所在目录,根据实际情况调整,也可不做配置
      watchKubeconfFiles:
      - /etc/kubernetes/admin.conf
      - /etc/kubernetes/controller-manager.conf
      - /etc/kubernetes/kubelet.conf
      - /etc/kubernetes/scheduler.conf
    nodes:
      watchFiles:
      - /var/lib/kubelet/pki/kubelet-client-current.pem
      - /etc/kubernetes/pki/ca.crt

修改service类型为NodePort,这样部署在k8s外部的prometheus可以获取到端口暴露的数据:

[root@k8s-pre-m01 x509-certificate-exporter]# cat templates/service.yaml 
{{- if .Values.service.create }}
apiVersion: v1
kind: Service
metadata:
  name: {{ include "x509-certificate-exporter.fullname" . }}
  namespace: {{ include "x509-certificate-exporter.namespace" . }}
  annotations:
    prometheus.io/scrape: "true"
    prometheus.io/port: "9793"
  labels:
    {{- include "x509-certificate-exporter.labels" . | nindent 4 }}
    {{- with .Values.service.extraLabels }}
    {{- . | toYaml | trim | nindent 4 }}
    {{- end }}
  {{- with .Values.service.annotations }}
  annotations:
    {{- . | toYaml | trim | nindent 4 }}
  {{- end }}
spec:
  type: NodePort
  {{- if .Values.service.headless }}
  clusterIP: None
  {{- end }}
  ports:
  - name: metrics
    port: {{ .Values.service.port }}
    targetPort: metrics
    nodePort: 30090
  selector:
    {{- include "x509-certificate-exporter.selectorLabels" . | nindent 4 }}
{{- end }}

[root@k8s-uat-m01 x509-certificate-exporter]# helm install x509-certificate-exporter   --values values.yaml  .

[root@k8s-pre-m01 x509-certificate-exporter]# helm list
NAME                            NAMESPACE       REVISION        UPDATED                                 STATUS          CHART                                   APP VERSION
x509-certificate-exporter       default         1               2025-10-13 11:25:47.81887836 +0800 CST  deployed        x509-certificate-exporter-3.19.1        3.19.1 


[root@k8s-m01 x509-certificate-exporter]# kubectl get pod
NAME                                         READY   STATUS             RESTARTS           AGE
x509-certificate-exporter-56567b56b9-xdmrf   1/1     Running            0                  7h50m
x509-certificate-exporter-master-5tspp       1/1     Running            0                  7h50m
x509-certificate-exporter-master-6ffhr       1/1     Running            0                  7h50m
x509-certificate-exporter-master-6q94j       1/1     Running            0                  7h50m

[root@k8s-m01 x509-certificate-exporter]# kubectl get ds
NAME                               DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                            AGE
x509-certificate-exporter-master   3         3         3       3            3           node-role.kubernetes.io/control-plane=   7h52m
[root@k8s-uat-m01 x509-certificate-exporter]# kubectl get deploy
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
x509-certificate-exporter   1/1     1            1           7h52m


[root@k8s-m01 x509-certificate-exporter]# kubectl get svc
NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                        AGE
x509-certificate-exporter   ClusterIP   10.202.156.255   <none>        9793/TCP                                       8h
[root@k8s-m01 x509-certificate-exporter]# curl 10.209.156.2xx:9793/metrics
...............................................................................

[root@k8s-pre-m01 templates]# kubectl get svc
NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)          AGE
kubernetes                  ClusterIP   10.196.xx.x     <none>        443/TCP          618d
x509-certificate-exporter   NodePort    10.196.xxx.173   <none>        9793:30090/TCP   16h

访问master节点所在的主机 + 端口30090 +/metrics 这样就可以拿到采集的指标,然后在外部的prometheus写死就行了,如果部署在k8s内部的prometheus使用服务发现就行了。

配置监控以及告警

通过这个 Helm Chart 也会自动安装:

  • ServiceMonitor
  • PrometheusRule

其监控指标为:

  • x509_cert_not_after

前往prometheus使用(x509_cert_not_after - time()) / 86400是否有结果,有则成功,无则失败

前往告警平台配置告警,有效期低于14天告警

promQL为:(x509_cert_not_after{filepath!=""} - time()) / 86400 < 14

若需要配置grafana面板,则复制helm包中的x509-certificate-exporter/grafana-dashboards/x509-certificate-exporter.json,通过导入json的形式创建面板即可。

一般我们只需要关注已经过期的证书和即将过期的证书即可。假设我想查看证书还有多久失效,可以使用表达式 (x509_cert_not_after{filepath!=""} - time()) / 3600 / 24

groups:
  - name: certificate_alerts
    rules:
      - alert: CertificateExpiration
        expr: ((x509_cert_not_after - time()) / 86400) < 28
        for: 15m
        labels:
          severity: warning
        annotations:
          summary: "Certificate is about to expire"
          description: "Certificate for '{{ $labels.subject_CN }}' is about to expire in Kubernetes secret '{{ $labels.secret_namespace }}/{{ $labels.secret_name }}'"

监控效果

该 Exporter 还提供了一个比较花哨的 Grafana Dashboard, 如下:

https://grafana.com/grafana/dashboards/13922-certificates-expiration-x509-certificate-exporter/https://grafana.com/grafana/dashboards/13922-certificates-expiration-x509-certificate-exporter/

异常处理

# 检查pod是否都运行kubectl get po -n 命名空间 -o wide

# 若运行异常,查看日志,一般都为某证书没读取权限或证书不存在kubectl logs -n 命名空间 【pod name】

# 若证书无读取权限,则前往该节点赋权  chmod +r 【证书路径】

Prometheus基于kubernetes实现监控告警---飞书告警(告警规则最全)
欢迎来到我的博客,希望对您有所帮助
11-03 2776
Prometheus基于kubernetes实现监控告警---飞书告警
监控Kubernetes集群证书过期时间的三种方案
east4ming的博客
12-08 1321
监控Kubernetes集群证书过期时间的三种方案 - 通过 Blackbox Exporter; 通过 kube-prometheus-stack; 通过 enix 的 x509-certificate-exporter
cert-exporter:Prometheus导出器,可在磁盘和Kubernetes机密中发布证书过期
05-01
证书出口商 Kubernetes使用PKI证书在所有主要组件之间进行身份验证。 这些证书对于群集的运行至关重要,但对于管理员而言通常是不透明的。 此应用程序旨在解析证书并导出到期信息,以供Prometheus抓取。 警告如果在群集中运行此应用程序,则可能需要某种提升的特权。 此外,您还向其公开了非常敏感的信息。 查看源代码! 用法 cert-exporter可以发布有关 以编码的磁盘上的x509证书 从kubeconfig文件嵌入或引用的证书。 存储在Kubernetes机密中的证书。 这支持诸如应用程序。 有关运行cert-exporter的详细信息以及在集群中运行它的示例,请参阅。 有关如何运行cert-exporter来从您管理的机密(而非cert-manager)中刮取证书的示例,请参阅 。 要启用和清除来自AWS机密的证书,请执行以下操作: go run main.
【亲测免费】 x509-certificate-exporter 使用教程
gitblog_00981的博客
08-16 777
x509-certificate-exporter 使用教程 项目介绍 x509-certificate-exporter 是一个用 Go 语言编写的 Prometheus exporter,专注于监控 X.509 证书的过期情况。该项目设计用于从内部监控 Kubernetes 集群,也可以用于独立环境。它能够帮助用户及时发现证书过期问题,确保系统的安全性和稳定性。 项目快速启动 安装步骤 ...
Kubernetes监控篇:kubernetes集群SSL证书监控实战》
东城绝神
01-06 1428
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
Kubernetes监控篇:kubernetes集群SSL证书监控实战(方案二)》
东城绝神
11-06 657
Kubernetes监控篇:kubernetes集群SSL证书监控实战(方案二)》
探索X509证书导出器:一个强大的SSL/TLS监控工具
gitblog_00054的博客
04-16 536
探索X509证书导出器:一个强大的SSL/TLS监控工具 x509-certificate-exporterA Prometheus exporter to monitor x509 certificates expiration in Kubernetes clusters or standalone项目地址:https://gitcode.com/gh_mirrors/x5/x509-cer...
三种监控 Kubernetes 集群证书过期方案
easylife206的专栏
12-01 1537
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件,还有 kubeconfig 文件。如果证书过期,轻则无法登录 Kubernetes 集群,重则整个集群异常。为了解决证书过期的问题,一般有以下几种方式:1.大幅延长证书有效期,短则 10...
基于x509-certificate-exporter实现K8S集群SSL证书监控资源清单
11-10
原文链接:https://blog.csdn.net/m0_37814112/article/details/134241442
K8S集群SSL证书监控:ssl-exporter配置与使用指南
在这个配置中,我们需要将`ssl-exporter-image`替换为实际的ssl-exporter镜像名称,并且配置SSL_CERTIFICATE_HOST和SSL_CERTIFICATE_PORT两个环境变量来指定需要监控的SSL证书的域名和端口。 部署完毕后,我们还...
x509: certificate signed by unknown authority
最新发布
颹蕭蕭
01-09 5078
如果可能,优先使用方法 1(信任自签名证书),这是最安全和推荐的方式。如果无法获取证书,可以尝试方法 2(禁用 SSL 验证),但请注意安全风险。如果问题仍然存在,可以尝试方法 3(手动拉取镜像)或方法 4(旧版 Docker 的解决方案)。
prometheus_cert_exporter:DomainSSL证书到期时间检查导出器
02-07
prometheus_cert_exporter 域/ SSL证书过期时间检查导出器 需求 python3 pip安装pyopenssl prometheus_client 用法 ./cert_exporter.py-帮助 Usage: cert_exporter.py -i <host> -p <port> -f <host> help: -i,--interval grab interval time(default:60 seconds) -p,--port exporter listen port(default:9602) -f,--file hosts list config use ini format(default:/config/host.ini) -h,--help
cert-munger:此模块接受 X509 证书的字符串输入,并尝试将它们重新格式化为有效的可读证书
06-30
##X.509 证书芒格 ============ 此模块接受 X509 证书的字符串输入,并尝试正确解析和分隔行。 然后它以 JSON 格式返回 X509 属性 它不接受缓冲区输入,请使用 fs.readFile || fs.readFileSync 以便将 .crt 文件作为字符串传入。 用法 var fs = require ( 'fs' ) , cert - munger = require ( 'cert-munger' ) , myCert = fs . readFileSync ( 'path/to/cert' ) ; cert - munger . to_cert ( myCert , function ( cert , err ) { console . log ( cert ) ; } ) ; ##贡献 ###Fork,编写代码,尽早测
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 1万+
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
巧用 Prometheus 监控 Kubernetes 集群所有组件的证书
云原生实验室
07-11 1018
KubeSphere 虽然提供了运维友好的向导式操作界面,简化了 Kubernetes 的运维操作,但它还是建立在底层 Kubernetes 之上的,Kubernetes 默认的证书有效期...
X509证书信任管理器类的实现及应用
legend_x的专栏
05-20 3413
X509证书信任管理器类的实现及应用   (2011-09-20 10:27:18) 转载▼ 标签:  杂谈   在JSSE中,证书信任管理器类就是实现了接口X509TrustManager的类。我们可以自己实现该接口,让它信任我们指定的证书。   接口X509TrustManager有下述三个公有的方法需要我们实现:
一文搞懂X509证书PEM DER CRT CER的区别
热门推荐
weixin_43408952的博客
05-13 1万+
X509文件格式介绍
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值