f4113n/linkerd-cert-check Docker 镜像 - 轩辕镜像

Linkerd Certificate Expiration Check Docker镜像文档

镜像概述与主要用途

Linkerd Certificate Expiration Check Docker镜像是一个轻量级工具，专门用于监控Linkerd服务网格环境中的证书有效期状态。该镜像通过定期扫描Linkerd控制平面（如identity服务）及数据平面（如代理注入的Pod）使用的TLS证书，识别即将过期或已过期的证书，并输出明确的状态信息及告警提示。其核心价值在于帮助运维团队提前发现证书过期风险，确保及时更新证书，保障服务网格通信的连续性和安全性。

核心功能与特性

• 全面证书扫描：支持检查Linkerd控制平面（identity、controller等组件）及数据平面（自动注入的sidecar代理）的所有TLS证书
• 灵活检查周期：可自定义证书检查频率（如每小时、每天），适配不同的证书轮换策略
• 多维度告警能力：支持通过日志输出、Prometheus指标暴露（如linkerd_cert_expiry_seconds）等方式提供告警信息
• 过期阈值配置：可设置证书过期告警阈值（如剩余30天），提前触发预警
• 轻量级设计：基于Alpine Linux构建，镜像体积小，资源占用低，适合在资源受限环境部署
• Linkerd版本兼容：支持Linkerd 2.10+版本的控制平面及数据平面证书结构

使用场景与适用范围

适用场景

• Linkerd服务网格日常运维：持续监控生产/测试环境中Linkerd证书状态，替代人工定期检查
• 证书生命周期管理：在证书更新窗口期（如过期前30天）触发预警，确保有充足时间完成证书轮换
• 高可用服务保障：对***、电商等对服务连续性要求高的场景，避免因证书过期导致的通信中断
• 自动化运维集成：可与CI/CD流水线或自动化运维平台联动，触发证书自动更新流程

适用环境

• 已部署Linkerd 2.10+版本的Kubernetes集群（包括Minikube、EKS、GKE、AKS等）
• 需要监控TLS证书有效期的Linkerd控制平面命名空间（默认linkerd）及数据平面命名空间（如default、prod等）

使用方法与配置说明

前置条件

• 容器需具备访问Kubernetes集群的权限（通过挂载kubeconfig文件或使用集群内Service Account）
• 目标Kubernetes集群已部署Linkerd，并正常运行（linkerd check无异常）

Docker Run部署示例

bash
docker run -d \
  --name linkerd-cert-check \
  -v $HOME/.kube/config:/root/.kube/config:ro \  # 挂载本地kubeconfig（只读）
  -e CHECK_INTERVAL=3600 \                     # 检查间隔：1小时（单位：秒）
  -e NAMESPACE="linkerd,default,prod" \        # 检查的命名空间（多个用逗号分隔）
  -e ALERT_THRESHOLD=14 \                      # 过期阈值：剩余14天触发告警
  -e LOG_LEVEL=debug \                         # 日志级别：debug（可选info/warn/error）
  -p 9090:9090 \                               # 暴露Prometheus指标端口
  your-registry/linkerd-cert-expiry-check:latest

Docker Compose配置示例

yaml
version: '3'
services:
  linkerd-cert-check:
    image: your-registry/linkerd-cert-expiry-check:latest
    container_name: linkerd-cert-check
    volumes:
      - $HOME/.kube/config:/root/.kube/config:ro
    environment:
      - CHECK_INTERVAL=86400          # 检查间隔：24小时（默认值）
      - NAMESPACE=linkerd             # 仅检查Linkerd控制平面命名空间（默认值）
      - ALERT_THRESHOLD=30            # 过期阈值：30天（默认值）
      - KUBECONFIG_PATH=/root/.kube/config  # kubeconfig文件路径（默认值）
      - PROMETHEUS_PORT=9090          # Prometheus指标端口（默认值）
    ports:
      - "9090:9090"
    restart: unless-stopped

环境变量参数说明

输出与告警查看

日志输出

容器日志将直接输出证书检查结果，例如：

log
INFO[2023-10-01T08:00:00Z] 开始证书检查，命名空间：linkerd,prod 
INFO[2023-10-01T08:00:02Z] 发现即将过期证书：linkerd-identity-issuer (命名空间：linkerd)，剩余有效期：25天 
WARN[2023-10-01T08:00:02Z] 证书已过期：linkerd-proxy-injector (命名空间：linkerd)，过期时间：2023-09-28T12:00:00Z 
INFO[2023-10-01T08:00:02Z] 检查完成，共发现1个过期证书，1个即将过期证书 

Prometheus指标

通过http://<容器IP>:<PROMETHEUS_PORT>/metrics可访问Prometheus指标，关键指标包括：

• linkerd_cert_expiry_seconds{namespace="<ns>", cert_name="<name>"}：证书剩余有效期（秒），过期证书值为负
• linkerd_cert_check_success{namespace="<ns>"}：检查是否成功（1=成功，0=失败）

注意事项

1. 权限要求：容器需具备Kubernetes集群的get、list权限（针对secrets资源），建议通过RBAC为Service Account绑定最小权限（如仅允许访问linkerd及目标数据平面命名空间的secrets）
2. 证书路径依赖：Linkerd证书通常存储在secrets中（如linkerd-identity-issuer、linkerd-proxy-injector-tls等），镜像默认扫描此类secret的tls.crt字段，若自定义证书存储路径需通过环境变量CERT_SECRET_LABELS配置
3. Linkerd升级兼容：Linkerd大版本升级（如2.10→2.14）可能调整证书结构，建议使用与Linkerd版本匹配的镜像标签（如linkerd-cert-expiry-check:2.14）