K8S - 使用 Prometheus 檢查證書驗證

Question

我需要找到 K8S 集群的證書驗證，例如使用警報管理器來通知證書即將到期並發送適當的通知。

我找到了這個repo但不是我不確定如何配置它，目標是什么以及如何實現它？

https://github.com/ribbybibby/ssl_exporter

基於黑盒導出器

https://github.com/prometheus/blackbox_exporter

- job_name: "ssl"
  metrics_path: /probe
  static_configs:
    - targets:
        - 127.0.0.1
  relabel_configs:
    - source_labels: [__address__]
      target_label: __param_target
    - source_labels: [__param_target]
      target_label: instance
    - target_label: __address__
      replacement: 127.0.0.1:9219 # SSL exporter.

我想檢查當前的 K8S 集群（部署 Prometheus 的地方），以查看證書是否有效。 我應該在目標里面放什么才能讓它工作？

我需要在集群中公開一些東西嗎？

更新這是系統中out證書的位置

      tls:
        mode: SIMPLE
        privateKey: /etc/istio/bide-tls/tls.key
        serverCertificate: /etc/istio/bide-tls/tls.crt

我的場景是：

Prometheus 和 ssl_exporter 在同一個集群中，他們需要檢查的證書也在同一個集群中。 （見上面的配置）

Answer 1

我應該在目標里面放什么才能讓它工作？

我認為 自述文件的 “目標”部分很清楚：它包含您希望監視器報告的端點：

static_configs:
  - targets:
      - kubernetes.default.svc.cluster.local:443
      - gitlab.com:443
relabel_configs:
  - source_labels: [__address__]
    target_label: __param_target
  - source_labels: [__param_target]
    target_label: instance
  - target_label: __address__
    # rewrite to contact the SSL exporter
    replacement: 127.0.0.1:9219

我需要在集群中公開一些東西嗎？

取決於您是否要報告內部證書，或者ssl_exporter是否可以到達您想要的端點。 例如，在上面的代碼片段中，我使用 KubeDNS 名稱kubernetes.default.svc.cluster.local並假設ssl_exporter作為集群中的 Pod 運行。 如果這不適用於您，您可能希望將該端點更改為k8s.my-cluster-dns.example.com:6443或您的 kubernetes API 正在偵聽的kubectl可以訪問的任何內容。

然后，同樣，如果 prometheus 和您的 ssl_exporter 都在集群內運行，那么您需要將replacement:更改為replacement:由您的 ssl_exporter Pod 支持的Service IP 地址。 如果 prometheus 在集群外而 ssl_monitor 在集群內，那么您需要創建一個type: NodePort的Service ，以便您可以將 prometheus 指向一個（或全部？）節點 IP 地址和NodePort的 NodePort正在聽

唯一一次使用文字127.0.0.1:9219是 prometheus 和 ssl_exporter 運行在同一台機器上或同一 Pod 中，因為從普羅米修斯的角度來看，這是 127.0.0.1 有意義的唯一方式