#ssl #kubernetes #certificate #devops #datadog
#ssl #kubernetes #сертификат #devops #datadog
Вопрос:
У меня есть модуль nginx, который перенаправляет трафик в службы Kubernetes и хранит связанные сертификаты внутри своего объема. Я хочу отслеживать эти сертификаты — в основном их срок действия.
Я узнал, что в Datadog есть интеграция с TLS (мы используем Datadog в нашем кластере): https://docs.datadoghq.com/integrations/tls/?tab=host .
Они предоставляют пример файла, который можно найти здесь: https://github.com/DataDog/integrations-core/blob/master/tls/datadog_checks/tls/data/conf.yaml.example
Честно говоря, я полностью потерян и не понимаю комментарии к образцу файла, такие как:
## @param server - string - required
## The hostname or IP address with which to connect.
Я хочу отслеживать сертификаты, которые хранятся в модуле, означает ли это, что это значение должно быть localhost или мне нужно каким-то образом перебирать все сертификаты, которые хранятся с использованием этого значения (например, server_names в nginx.conf)?
Если кто-нибудь может помочь мне с настройкой примерной конфигурации, я был бы очень благодарен — если есть какие-либо дополнительные подробности, которые я должен предоставить, это вообще не проблема.
Ответ №1:
Настройка TLS на хосте
Вы можете использовать экземпляр типа хоста для отслеживания всех дат истечения срока действия вашего сертификата
1. Установите интеграцию TLS из пользовательского интерфейса datadog
2. Создайте экземпляр и установите в него агент datadog.
3- Создайте файл /etc/datadog/conf.d/tls.d/conf.yaml
4- Отредактируйте следующий шаблон в соответствии с вашими потребностями
init_config:
instances:
## @param server - string - required
## The hostname or IP address with which to connect.
#
- server: https://yourDNS1.com/
tags:
- dns:yourDNS.com
- server: https://yourDNS2.com/
tags:
- dns:yourDNS2
- server: yourDNS3.com
tags:
- dns:yourDNS3
- server: https://yourDNS4.com/
tags:
- dns:yourDNS4.com
- server: https://yourDNS5.com/
tags:
- dns:yourDNS5.com
- server: https://yourDNS6.com/
tags:
- dns:yourDNS6.com
5. Перезапустите datadog-agent
systemctl restart datadog-agent
6- Проверьте статус, если вы видите, что протокол tls запущен успешно
watch systemctl status datadog-agent
8- Создайте панель мониторинга обзора TLS
9. Создайте монитор для получения уведомлений о датах истечения срока действия
Настройка TLS в Kubernetes
1- Создайте конфигурационную карту и прикрепите ее в качестве тома https://docs.datadoghq.com/agent/kubernetes/integrations/?tab=configmap