证书监控
Cluster Enhancer 提供对 Kubernetes 集群中使用的证书的监控能力。监控范围包括:
- Kubernetes 组件证书,包括控制平面和 kubelet 的服务器/客户端证书(包括 kubeconfig 客户端证书)
- 集群中运行组件的证书,通过检查所有类型为
kubernetes.io/tls的 Secrets 实现 - kube-apiserver 实际使用的服务器证书(包括用于自访问的内部回环证书),通过访问
kubernetesEndpoints 获取
用户可以在 Administrator 视图中,通过左侧导航进入 Marketplace > Cluster Plugins 查找并安装 Cluster Enhancer。
目录
证书状态监控
证书的过期状态可以通过指标 certificate_expires_status 查看。证书的过期时间可以通过指标 certificate_expires_time 查看。
当前证书状态和过期时间可以在 Certificate Status 子标签页中查看。访问该子标签页的方法是进入 Administrator 视图,导航至 Clusters > Clusters,选择具体集群,然后进入 Monitoring 标签页。
内置告警规则
Cluster Enhancer 提供内置告警规则 cpaas-certificates-rule,包含以下告警:
Kubernetes 证书告警
| 规则 | 等级 |
|---|---|
| kubernetes 证书的过期时间即将到期(少于 30 天) <= 30d 且持续 1 分钟 | 中等 |
| kubernetes 证书的过期时间即将到期(少于 10 天) <= 10d 且持续 1 分钟 | 高 |
| kubernetes 证书已过期 <= 0d 且持续 1 分钟 | 严重 |
平台组件证书告警
| 规则 | 等级 |
|---|---|
| 平台组件证书的过期时间即将到期(少于 30 天) <= 30d 且持续 1 分钟 | 中等 |
| 平台组件证书的过期时间即将到期(少于 10 天) <= 10d 且持续 1 分钟 | 高 |
| 平台组件证书已过期 <= 0d 且持续 1 分钟 | 严重 |