muxinc/certificate-expiry-monitor Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
muxinc/certificate-expiry-monitormuxinc
用于将TLS证书过期时间暴露为Prometheus指标的工具,便于监控证书有效期并及时更新,避免因证书过期导致服务中断。
下载次数: 0状态:社区镜像维护者:muxinc仓库类型:镜像最近更新:4 个月前
TLS证书过期监控工具镜像
镜像概述
本镜像是一个轻量级工具,用于将TLS证书的过期时间转换为Prometheus兼容指标,帮助用户实时监控证书有效期。通过Prometheus采集这些指标,结合Grafana等可视化工具,可实现证书过期预警,确保依赖TLS/SSL的服务(如HTTPS网站、API网关、内部服务等)持续可用。
核心功能与特性
核心功能
- 暴露Prometheus指标:将TLS证书的剩余有效时间(秒/天)以Prometheus指标形式暴露,支持Prometheus直接抓取。
- 多来源证书检查:支持监控本地文件系统中的证书文件(如
.crt、.pem)及远程URL(如[***])的证书。
关键特性
- Prometheus兼容:指标格式符合Prometheus规范,可直接集成到现有监控体系。
- 灵活配置:支持通过命令行参数或环境变量自定义检查目标、频率、超时等参数。
- 轻量级:基于精简基础镜像,容器体积小,资源占用低。
使用场景与适用范围
适用场景
- Web服务监控:监控Nginx、Apache、IIS等Web服务器的TLS证书。
- API与微服务:监控内部微服务、API网关(如Kong、APISIX)的证书有效期。
- 基础设施组件:监控数据库(如PostgreSQL、MongoDB)、消息队列(如Kafka、RabbitMQ)等依赖TLS的中间件证书。
适用范围
- 依赖HTTPS/TLS协议的生产环境、测试环境或开发环境。
- 需要自动化监控证书生命周期,避免人工巡检遗漏的场景。
- 已部署Prometheus+Grafana监控体系的用户,可直接接入现有告警规则。
使用方法与配置说明
基本使用(docker run)
1. 监控本地证书文件
将本地证书文件挂载到容器内,指定证书路径进行监控:
bashdocker run -d \ -p 9100:9100 \ # 暴露Prometheus指标端口 -v /path/to/local/certs:/certs \ # 挂载本地证书目录到容器内/certs --name tls-cert-monitor \ your-image-name \ --cert-file /certs/server.crt \ # 容器内证书路径 --metrics-port 9100 \ # 指标暴露端口(默认9100) --check-interval 300 # 检查间隔(秒,默认300)
2. 监控远程URL证书
通过URL检查远程服务的TLS证书(如[***]):
bashdocker run -d \ -p 9100:9100 \ --name tls-cert-monitor \ your-image-name \ --cert-url [***] \ # 远程服务URL(需指定端口,默认443) --metrics-port 9100 \ --timeout 10 # 连接超时时间(秒,默认10)
docker-compose配置示例
创建docker-compose.yml文件,配置多证书监控:
yamlversion: '3' services: tls-cert-monitor: image: your-image-name ports: - "9100:9100" volumes: - /path/to/local/certs:/certs # 本地证书目录 command: > --cert-file /certs/server1.crt \ # 监控本地证书1 --cert-file /certs/server2.pem \ # 监控本地证书2 --cert-url [***] \ # 监控远程API证书 --metrics-port 9100 \ --check-interval 600 # 每10分钟检查一次
配置参数说明
命令行参数
| 参数 | 说明 | 默认值 |
|---|---|---|
--cert-file | 本地TLS证书文件路径(可重复指定多个) | 无 |
--cert-url | 远程服务URL(格式:host:port) | 无 |
--metrics-port | Prometheus指标暴露端口 | 9100 |
--check-interval | 证书检查间隔(秒) | 300 |
--timeout | 证书获取超时时间(秒) | 10 |
Prometheus指标格式
工具暴露的核心指标如下(可通过http://<容器IP>:9100/metrics访问):
| 指标名称 | 类型 | 说明 | 标签示例 |
|---|---|---|---|
tls_certificate_expiry_seconds | Gauge | 证书剩余有效时间(秒) | cert_path="/certs/server.crt"、host="example.com" |
tls_certificate_expiry_days | Gauge | 证书剩余有效天数(四舍五入) | 同上 |
注意事项
- 证书权限:挂载本地证书文件时,确保容器内用户有读取权限(可通过
--user指定用户或调整文件权限)。 - 网络访问:监控远程URL时,容器需能访问目标服务的443端口(或自定义端口),确保网络策略允许。
- Prometheus配置:需在Prometheus的
scrape_configs中添加对该容器指标端口(默认9100)的抓取配置,例如:yamlscrape_configs: - job_name: 'tls-cert-monitor' static_configs: - targets: ['tls-cert-monitor:9100'] # 容器名称或IP:端口 - 告警规则:建议在Prometheus中配置告警规则(如当
tls_certificate_expiry_days < 30时触发告警),及时通知管理员更新证书。
atlassian/pipelines-kubernetes-namespace-expiry
atlassian
暂无描述
100万+ 次下载
6 年前更新
redis/rdi-monitor
Redis 官方镜像
暂无描述
1万+ 次下载
25 天前更新
grafana/synthetic-monitoring-agent
grafana
Blackbox Exporter代理,用于执行Grafana Cloud Synthetic Monitoring服务的检查。
7 次收藏1亿+ 次下载
26 天前更新
portainer/template-swarm-monitoring
portainer
包含供监控Swarm应用模板使用的镜像的仓库
1000万+ 次下载
2 年前更新
itzg/mc-monitor
itzg
用于监控Minecraft服务器状态的命令行工具/代理程序
13 次收藏10万+ 次下载
1 个月前更新
lfedge/eve-monitor
lfedge
暂无描述
10万+ 次下载
26 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"