脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器云和虚拟化云其它 → k8s证书过期时间扫描

k8s证书过期时间扫描方式

 更新时间:2025年10月30日 11:07:04   作者:云原生运维  
该文章介绍了多种检查Kubernetes证书过期时间的方法,包括使用openssl命令、kubeadm工具、Shell脚本、Kubernetes API等,文章还提到了一些第三方工具,如cert-manager、kube-cert-manager和PrometheusSSLExporter,以及关键证书的位置

查询证书过期时间的方法

使用 openssl 命令可以检查证书过期时间,适用于集群内外的证书文件:

openssl x509 -noout -enddate -in /etc/kubernetes/pki/apiserver.crt

示例输出:

notAfter=May 24 12:00:00 2025 GMT

扫描集群内所有证书过期时间

通过 kubeadm 工具一键检查集群证书有效期:

kubeadm certs check-expiration

输出结果将显示:

  • 证书路径
  • 过期时间
  • 剩余天数
  • 是否自动续订

检查 kubeconfig 文件中的证书

提取 kubeconfig 中的证书并验证有效期:

grep client-certificate ~/.kube/config | awk '{print $2}' | xargs openssl x509 -noout -enddate

自动监控脚本示例

以下 Shell 脚本可批量扫描指定目录下的证书:

#!/bin/bash
CERT_DIR="/etc/kubernetes/pki"
THRESHOLD_DAYS=30

find $CERT_DIR -type f -name "*.crt" | while read cert; do
    expiry=$(openssl x509 -enddate -noout -in "$cert" | cut -d= -f2)
    remaining_days=$(( ($(date -d "$expiry" +%s) - $(date +%s)) / 86400 ))
    
    if [ $remaining_days -lt $THRESHOLD_DAYS ]; then
        echo "ALERT: $cert 将在 $remaining_days 天后过期 ($expiry)"
    fi
done

使用 kubelet 证书API

通过 Kubernetes API 获取 kubelet 证书信息:

kubectl get --raw /api/v1/nodes/<node-name>/proxy/configz | jq '.kubeletConfig.serverTLSBootstrap'

第三方工具推荐

  1. cert-manager:自动管理证书生命周期,支持告警功能
  2. kube-cert-manager:专为 Kubernetes 设计的证书监控工具
  3. Prometheus SSL Exporter:提供证书过期指标并集成告警系统

关键证书位置说明

  • /etc/kubernetes/pki/:控制平面核心证书
  • /var/lib/kubelet/pki/:kubelet 客户端证书
  • ~/.kube/config:用户访问凭据
  • /etc/kubernetes/manifests/:静态 Pod 使用的证书

证书续订操作

对于 kubeadm 管理的集群,执行自动续订:

kubeadm certs renew all

完成后需重启控制平面组件:

docker restart $(docker ps -q -f name=k8s_apiserver)

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • 在K8S中实现会话保持的两种方案

    在K8S中实现会话保持的两种方案

    这篇文章主要介绍了在K8S中实现会话保持的两种方案,每种方案结合示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2023-03-03
  • k8s中对gkv的理解TypeData详解

    k8s中对gkv的理解TypeData详解

    Kubernetes资源通过GKV(Group、Version、Kind)标识,用于分类、版本管理和资源识别,在YAML配置中,apiVersion和kind字段分别体现GKV,是K8s资源操作的基础,通过GKV,Kubernetes可以正确解析和执行资源配置,并确保版本兼容性
    2025-11-11
  • Centos 8.2 升级内核通过elrepo源的方法

    Centos 8.2 升级内核通过elrepo源的方法

    这篇文章主要介绍了Centos 8.2 升级内核通过elrepo源,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-10-10
  • 云原生时代的前端部署最佳实践(含详细代码)

    云原生时代的前端部署最佳实践(含详细代码)

    云原生安全架构应运而生,它通过零信任、自动化防护和全生命周期管理等理念,为企业提供从基础设施到应用层的全方位保护,这篇文章主要介绍了云原生时代的前端部署最佳实践,需要的朋友可以参考下
    2026-04-04
  • Kubernetes安全加固的一些实用建议

    Kubernetes安全加固的一些实用建议

    Kubernetes是一个自动化的容器编排平台,它负责应用的部署、应用的弹性以及应用的管理,这些都是基于容器的,下面这篇文章主要给大家介绍了关于Kubernetes安全加固的一些实用建议,需要的朋友可以参考下
    2022-02-02
  • K8s容器的定向调度与亲和性详解

    K8s容器的定向调度与亲和性详解

    这篇文章主要介绍了K8s容器的定向调度与亲和性,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2025-07-07
  • Kubernetes  Dashboard 配置用户名密码方式登录操作流程

    Kubernetes  Dashboard 配置用户名密码方式登录操作流程

    为了K8s集群安全,默认情况下Dashboard以Token的形式登录的,那如果我们想以用户名/密码的方式登录该怎么操作呢?其实只需要我们创建用户并进行 ClusterRoleBinding绑定即可,下面给大家分享Kubernetes  Dashboard 配置用户名密码方式登录操作流程,感兴趣的朋友一起看看吧
    2024-06-06
  • 详解Rainbond云原生平台简化Kubernetes业务问题排查

    详解Rainbond云原生平台简化Kubernetes业务问题排查

    这篇文章主要介绍了详解Rainbond云原生平台简化Kubernetes业务问题排查,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-03-03
  • k8s中实现mysql主备过程详解

    k8s中实现mysql主备过程详解

    文章讲解了在K8s中使用StatefulSet部署MySQL主备架构,包含NFS安装、storageClass配置、MySQL部署及同步检查步骤,确保主备数据一致性与高可用性
    2025-09-09
  • K8S环境中Containerd运行时占用文件定位安全清理方法

    K8S环境中Containerd运行时占用文件定位安全清理方法

    容器运行时是Kubernetes最重要的组件之一,负责管理镜像和容器的生命周期,这篇文章主要介绍了K8S环境中Containerd运行时占用文件定位安全清理方法的相关资料,需要的朋友可以参考下
    2026-04-04

最新评论