Модуль проверки сертификатов API Kubernetes (X.509 Certificate Exporter)
Компоненты Kubernetes используют множество сертификатов для аутентификации и безопасной защиты взаимодействия друг с другом. Истекающие сертификаты Kubernetes являются распространенным источником сбоев.
Модуль проверки сертификатов API Kubernetes на основе X.509 Certificate Exporter обеспечивает мониторинг сроков действий сертификатов (секретов) в кластере Kubernetes и на узлах кластера. Модуль контролирует сертификаты:
- ETCD сервера и клиента;
- Kubernetes CA;
- kube-apiserver;
- kubelet;
- файлы kubeconfig, которые используются различными компонентами для аутентификации на сервере API;
- PEM-файлы.
Модуль не является критически важным сервисом для работы платформы “Штурвал”.
Мониторинг сроков действия сертификатов
Данные о сроках действия сертификатов направляются в качестве метрик в Компонент управления модуля мониторинга (VM Agent). На основании метрик:
- В графическом интерфейсе платформы “Штурвал” доступен просмотр сроков действий сертификатов в кластере.
- В Grafana доступен дашборд мониторинга состояния сертификатов.
Модуль в графическом интерфейсе
Для управления сервисом в кластере перейдите на страницу Установленные сервисы раздела Сервисы и репозитории. Найдите Модуль проверки сертификатов API Kubernetes (shturval-cert-expiration) и нажмите Управлять.
Если в кластере такой сервис отсутствует, перейдите на страницу Доступные чарты раздела Сервисы и репозитории. На вкладке shturval выберите чарт shturval-cert-expiration и нажмите Установить.
Выберите необходимую версию чарта. После выбора версии чарта в правой части экрана отобразятся доступные Параметры конфигурации для сервиса (values). При необходимости пропишите в блоке Спецификация сервиса параметры в качестве customvalues.
Для корректной работы сервиса в кластере должен быть установлен и включен Компонент модуля локального сбора метрик (shturval-monitoring-crds).