f4113n/linkerd-cert-check

f4113n

用于检查Linkerd服务网格中证书过期情况的Docker镜像，帮助监控证书有效期，及时发现过期风险，避免因证书过期导致的服务中断。

下载次数: 0状态：活跃维护者：f4113n仓库类型：镜像最近更新：1 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

Linkerd Certificate Expiration Check Docker镜像文档

镜像概述与主要用途

Linkerd Certificate Expiration Check Docker镜像是一个轻量级工具，专门用于监控Linkerd服务网格环境中的证书有效期状态。该镜像通过定期扫描Linkerd控制平面（如identity服务）及数据平面（如代理注入的Pod）使用的TLS证书，识别即将过期或已过期的证书，并输出明确的状态信息及告警提示。其核心价值在于帮助运维团队提前发现证书过期风险，确保及时更新证书，保障服务网格通信的连续性和安全性。

核心功能与特性

全面证书扫描：支持检查Linkerd控制平面（identity、controller等组件）及数据平面（自动注入的sidecar代理）的所有TLS证书
灵活检查周期：可自定义证书检查频率（如每小时、每天），适配不同的证书轮换策略
多维度告警能力：支持通过日志输出、Prometheus指标暴露（如linkerd_cert_expiry_seconds）等方式提供告警信息
过期阈值配置：可设置证书过期告警阈值（如剩余30天），提前触发预警
轻量级设计：基于Alpine Linux构建，镜像体积小，资源占用低，适合在资源受限环境部署
Linkerd版本兼容：支持Linkerd 2.10+版本的控制平面及数据平面证书结构

使用场景与适用范围

适用场景

Linkerd服务网格日常运维：持续监控生产/测试环境中Linkerd证书状态，替代人工定期检查
证书生命周期管理：在证书更新窗口期（如过期前30天）触发预警，确保有充足时间完成证书轮换
高可用服务保障：对***、电商等对服务连续性要求高的场景，避免因证书过期导致的通信中断
自动化运维集成：可与CI/CD流水线或自动化运维平台联动，触发证书自动更新流程

适用环境

已部署Linkerd 2.10+版本的Kubernetes集群（包括Minikube、EKS、GKE、AKS等）
需要监控TLS证书有效期的Linkerd控制平面命名空间（默认linkerd）及数据平面命名空间（如default、prod等）

使用方法与配置说明

前置条件

容器需具备访问Kubernetes集群的权限（通过挂载kubeconfig文件或使用集群内Service Account）
目标Kubernetes集群已部署Linkerd，并正常运行（linkerd check无异常）

Docker Run部署示例

bash
docker run -d \
  --name linkerd-cert-check \
  -v $HOME/.kube/config:/root/.kube/config:ro \  # 挂载本地kubeconfig（只读）
  -e CHECK_INTERVAL=3600 \                     # 检查间隔：1小时（单位：秒）
  -e NAMESPACE="linkerd,default,prod" \        # 检查的命名空间（多个用逗号分隔）
  -e ALERT_THRESHOLD=14 \                      # 过期阈值：剩余14天触发告警
  -e LOG_LEVEL=debug \                         # 日志级别：debug（可选info/warn/error）
  -p 9090:9090 \                               # 暴露Prometheus指标端口
  your-registry/linkerd-cert-expiry-check:latest

Docker Compose配置示例

yaml
version: '3'
services:
  linkerd-cert-check:
    image: your-registry/linkerd-cert-expiry-check:latest
    container_name: linkerd-cert-check
    volumes:
      - $HOME/.kube/config:/root/.kube/config:ro
    environment:
      - CHECK_INTERVAL=86400          # 检查间隔：24小时（默认值）
      - NAMESPACE=linkerd             # 仅检查Linkerd控制平面命名空间（默认值）
      - ALERT_THRESHOLD=30            # 过期阈值：30天（默认值）
      - KUBECONFIG_PATH=/root/.kube/config  # kubeconfig文件路径（默认值）
      - PROMETHEUS_PORT=9090          # Prometheus指标端口（默认值）
    ports:
      - "9090:9090"
    restart: unless-stopped

环境变量参数说明

参数名	描述	默认值	示例值
`CHECK_INTERVAL`	证书检查间隔（单位：秒）	`86400`（24h）	`3600`（1h）
`NAMESPACE`	要检查的Kubernetes命名空间（多个用逗号分隔，`*`表示所有命名空间）	`linkerd`	`linkerd,prod,default`
`ALERT_THRESHOLD`	证书过期告警阈值（单位：天，剩余天数≤此值时触发告警）	`30`	`14`
`KUBECONFIG_PATH`	容器内kubeconfig文件路径（需通过挂载提供）	`/root/.kube/config`	`/etc/kube/config`
`LOG_LEVEL`	日志输出级别（可选：`debug`/`info`/`warn`/`error`）	`info`	`debug`
`PROMETHEUS_PORT`	Prometheus指标暴露端口（设为`0`禁用指标暴露）	`9090`	`9100`

输出与告警查看

日志输出

容器日志将直接输出证书检查结果，例如：

log
INFO[2023-10-01T08:00:00Z] 开始证书检查，命名空间：linkerd,prod 
INFO[2023-10-01T08:00:02Z] 发现即将过期证书：linkerd-identity-issuer (命名空间：linkerd)，剩余有效期：25天 
WARN[2023-10-01T08:00:02Z] 证书已过期：linkerd-proxy-injector (命名空间：linkerd)，过期时间：2023-09-28T12:00:00Z 
INFO[2023-10-01T08:00:02Z] 检查完成，共发现1个过期证书，1个即将过期证书

Prometheus指标

通过http://<容器IP>:<PROMETHEUS_PORT>/metrics可访问Prometheus指标，关键指标包括：

linkerd_cert_expiry_seconds{namespace="<ns>", cert_name="<name>"}：证书剩余有效期（秒），过期证书值为负
linkerd_cert_check_success{namespace="<ns>"}：检查是否成功（1=成功，0=失败）

注意事项

权限要求：容器需具备Kubernetes集群的get、list权限（针对secrets资源），建议通过RBAC为Service Account绑定最小权限（如仅允许访问linkerd及目标数据平面命名空间的secrets）
证书路径依赖：Linkerd证书通常存储在secrets中（如linkerd-identity-issuer、linkerd-proxy-injector-tls等），镜像默认扫描此类secret的tls.crt字段，若自定义证书存储路径需通过环境变量CERT_SECRET_LABELS配置
Linkerd升级兼容：Linkerd大版本升级（如2.10→2.14）可能调整证书结构，建议使用与Linkerd版本匹配的镜像标签（如linkerd-cert-expiry-check:2.14）

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 linkerd-cert-check 镜像标签

docker pull docker.xuanyuan.run/f4113n/linkerd-cert-check:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull f4113n/linkerd-cert-check:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"