介绍一个小工具:SSL-exporter

最新推荐文章于 2025-07-27 00:31:41 发布
最新推荐文章于 2025-07-27 00:31:41 发布
阅读量861 收藏
点赞数
文章标签: kubernetes docker java redis 区块链
本文介绍了如何利用ssl-exporter这个Prometheus Exporter来监控Kubernetes集群中APIServer证书的有效期,通过设置Prometheus抓取目标和Alertmanager告警,确保及时发现并处理证书即将过期的问题,提高集群安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kubeadm 安装时的证书有效期设置为 1 年,虽说有 sealos 这样的不知名安装器以及各种方案来更新证书,但是对于像我一样经常跟不知来源的 Kubernetes 集群打交道的人来说,这个有效期就是达摩什么的利剑,不一定什么时候会砍到脖子上。如果能用 Prometheus 对证书有效期进行监控或者告警,就能更好地保护好自己的脖子了,ssl-exporter 就是这么个有趣的项目。

ssl-exporter 是个 Prometheus Exporter,能提供多种针对 SSL 的检测手段,包括:https 证书生效/失效时间、文件证书生效/失效时间,OCSP 等相关指标。下面用 API Server 证书检测来验证这一功能:

首先进行部署:

apiVersion: v1
kind: Service
metadata:
  labels:
    name: ssl-exporter
  name: ssl-exporter
spec:
  ports:
    - name: ssl-exporter
      protocol: TCP
      port: 9219
      targetPort: 9219
  selector:
    app: ssl-exporter
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: ssl-exporter
spec:
  replicas: 1
  selector:
    matchLabels:
      app: ssl-exporter
  template:
    metadata:
      name: ssl-exporter
      labels:
        app: ssl-exporter
    spec:
      initContainers:
        # Install kube ca cert as a root CA
        - name: ca
          image: alpine
          command:
            - sh
            - -c
            - |
              set -e
              apk add --update ca-certificates
              cp /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /usr/local/share/ca-certificates/kube-ca.crt
              update-ca-certificates
              cp /etc/ssl/certs/* /ssl-certs
          volumeMounts:
            - name: ssl-certs
              mountPath: /ssl-certs
      containers:
        - name: ssl-exporter
          image: ribbybibby/ssl-exporter:v0.6.0
          ports:
            - name: tcp
              containerPort: 9219
          volumeMounts:
            - name: ssl-certs
              mountPath: /etc/ssl/certs
      volumes:
        - name: ssl-certs
          emptyDir: {}

上面的 YAML 部署了一个 Deployment 和 Service,在 9219 端口上提供 Exporter 服务。

接下来在 Prometheus 中配置一下抓取 Kubernetes 服务的内容:

- job_name: ssl-exporter
  metrics_path: /probe
  static_configs:
  - targets:
    - kubernetes.default.svc:443
  relabel_configs:
  - source_labels: [__address__]
    target_label: __param_target
  - source_labels: [__param_target]
    target_label: instance
  - target_label: __address__
    replacement: ssl-exporter:9219

接下来就可以进行查询了,查询语句:(ssl_cert_not_after-time())/3600/24,这个表达式查询各个目标的过期时间和当前时间的差。执行查询获取到过期天数,查询结果是 349 天。同样的表达式,复制到 Alertmanager 中,就可以及时的获取到证书的过期时间了。

相关链接

  • ssl-exporter:

    https://github.com/ribbybibby/ssl_exporter

  • ssl-exporter 示例部署和配置:

    https://github.com/ribbybibby/ssl_exporter/issues/12#issuecomment-562966945

  • sealos:

    https://github.com/fanux/sealos

【30天精通Prometheus:一站式监控实战指南】第12天:windows_exporter从入门到实战:安装、配置详解与生产环境搭建指南,超详细
大唐有趣的小胡.
06-01 2910
文章详细介绍了如何安装windows_exporter,包括从官网下载、选择适合版本并运行。接下来,深入探讨了windows_exporter的指标和配置,特别是其Collectors及exe文件的参数详解。最后,文章提供了生产环境搭建指南,指导读者如何创建配置文件、将windows_exporter集成到Prometheus中,并启动服务,最后验证服务的正常启动。
ssl_exporter:导出 SSL 证书的 Prometheus 指标
08-05
SSL 证书导出器 导出从各种来源收集的证书的指标: 指标标有证书中的字段,允许信息仪表板和灵活的警报路由。 建造 make ./ssl_exporter <flags> 与 blackbox_exporter 类似,访问将返回 example.com 的证书指标。 ssl_probe_success指标指示探测是否成功。 码头工人 docker pull ribbybibby/ssl-exporter docker run -p 9219:9219 ribbybibby/ssl-exporter:latest <flags> 发布流程 更新此存储库中的VERSION文件并提交给 master 将添加更改日志并上传二进制文件以响应在 Github 中创建的发布 Dockerhub 将构建并标记一个新的容器镜像以响应/^v[0-9.]+$/格式的/^v[0-9.]+$/ 用法 usa
使用ssl_exporter监控K8S集群证书
qq_40907977的博客
01-27 749
使用kubeadm搭建的集群默认证书有效期是1年,续费证书其实是一件很快的事情。但是就怕出事了才发现,毕竟作为专业搬砖工程师,每天都很忙的。 鉴于此,监控集群证书有效期是一件不得不做的事情。Prometheus作为云原生领域的王者,如果能用它来监控证书有效期并能及时告警,那就再好不过了。 ssl_exporter就是来做这个事情的。ssh_exporter一个Prometheus Exporter能提供多种针对 SSL 的检测手段,包括:https 证书生效/失效时间、文件证书生效/失效时间,OCSP 等
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
原文链接:https://blog.youkuaiyun.com/m0_37814112/article/details/122349602
使用ssl_exporter监控K8S集群证书,2024年最新软件测试面试知识点
2401_84239625的博客
04-14 896
取:vip1024b (备注软件测试)**[外链图片转存中…(img-FgI1QrLG-1713069998360)]
SSL Exporter 使用教程
gitblog_00932的博客
08-16 518
SSL Exporter 使用教程 项目介绍 SSL Exporter一个用于监控 TLS 证书状态的开源项目,它能够帮助用户检查和监控证书的有效期,确保系统的安全性。该项目通过 Prometheus 收集和展示证书的过期时间,支持多种配置和部署方式,适用于各种需要监控证书过期情况的环境。 项目快速启动 安装 SSL Exporter 首先,克隆项目仓库到本地: git clone https...
SSL证书监控工具:ssl-hostinfo-prometheus-exporter
文件名称`ssl-hostinfo-prometheus-exporter-develop`暗示了该项目可能正处于开发阶段。`develop`这一名称表明这是一个开发分支的压缩包,其中可能包含了最新功能的实现,但不一定经过了完全的测试和稳定性的验证。...
K8S集群SSL证书监控:ssl-exporter配置与使用指南
ssl-exporter一个专门用于监控SSL证书有效期的工具,它可以帮助我们获取当前证书的详细信息以及距离到期还剩多少时间,并且还可以将这些信息暴露为Prometheus可以抓取的格式,从而利用Prometheus强大的数据抓取和...
Elasticsearch-Exporter一个小的脚本,用于将数据从一个Elasticsearch集群导出到另一个集群
02-25
这是一个全新的实现,其中包含许多错误,并且没有太多时间来测试一个孤独的开发人员的所有内容,因此,请最好考虑使用此Beta ,并提供反馈,错误报告甚至补丁。 除非经过野外测试,否则该版本不会发布到npm。 一旦...
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
本文将深入探讨如何利用Prometheus监控K8S主机上的SSL证书资源,并介绍一个名为`prometheus-ssl-exporter`的镜像文件,它有助于提取和暴露SSL证书的相关信息。 首先,理解SSL证书对于K8S的重要性至关重要。SSL...
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.youkuaiyun.com/m0_37814112/article/details/122349602
prometheus_cert_exporter:DomainSSL证书到期时间检查导出器
02-07
prometheus_cert_exporter 域/ SSL证书过期时间检查导出器 需求 python3 pip安装pyopenssl prometheus_client 用法 ./cert_exporter.py-帮助 Usage: cert_exporter.py -i <host> -p <port> -f <host> help: -i,--interval grab interval time(default:60 seconds) -p,--port exporter listen port(default:9602) -f,--file hosts list config use ini format(default:/config/host.ini) -h,--help
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.youkuaiyun.com/m0_37814112/article/details/122349602
certificate-exporter:Prometheus导出器在TLS证书到期时显示指标
04-17
证书出口商 这是一个简单的Prometheus导出程序,可在TLS证书到期时提供指标。 它基于netcat来处理Web请求,并基于openssl来下载和读取证书。 例子 导出器将在端口80上启动Web服务器(不使用HTTPS / TLS),并在每个URI下提供其指标。 导出器检查您在环境变量DOMAINS指定的所有域,并仅输出直到证书失效为止的天数。 然后,您可以使用grafana在一个很好的规格中可视化数据: 在这里,您可以看到证书导出器的示例输出: # HELP cert_days_remaining Days until the certificate becomes invalid # TYPE cert_days_remaining gauge cert_days_remaining{domain="gmasil.de"} 55 cert_days_remaining{do
服务器资源监控工具———node_exporter
paopaobupa的博客
08-17 3383
node_exporter专门收集linux系统主机资源利用数据的,如磁盘、cpu、内存等信息的。
Prometheus-Exporter详解
cristianoxm的博客
01-18 6877
因此,用户只能通过独立运行一个程序的方式,通过操作系统提供的相关接口,将系统的运行状态数据转换为可供Prometheus读取的监控数据。除了直接使用社区提供的Exporter程序以外,用户还可以基于Prometheus提供的Client Library创建自己的Exporter程序,目前Promthues社区官方提供了对以下编程语言的支持:Go、Java/Scala、Python、Ruby。所有的Exporter程序都需要按照Prometheus的规范,返回监控的样本数据。
Prometheus监控实战系列十五:Exporter详解
青梅煮酒
03-26 3934
虽然Promethesu社区提供了丰富多样的Exporter给用户使用,但由于各家公司的环境都有自身的特点,有时候可能无法在现有资源中找到合适的工具。对此,我们可以利用Prometheus的Clinet Libraries,开发符合实际需要的自定义Exporter。Clinet Libraries支持的语言版本非常丰富,除了官方提供了Go、Java or Scala、Python和Ruby几种外,还有很多第三方开发的其他语言版本。本文我们将以Python为例,演示Exporter的开发。
ssl-job机器地址为空,无法进行自动绑定
Tsbug的博客
09-23 139
在进行debug启动 看看具体出现了什么问题。今天写微服务项目的时候遇到了一个bug。出现了这个错误可以debug去追一下。然后发现9999端口已经被占用。将占用9999端口的应用终止掉。执行器设置的端口是9999。执行器端口9999发生了报错。发现对9999端口进行绑定。同时无法获取执行器地址。
K8S 八 数据存储-高级存储PV PVC 生命周期;配置存储ConfigMap Secret
最新发布
Lyndon的专栏
07-27 249
K8S 数据存储 PV和PVC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值