cadvisor:提供密钥和证书时 TLS 不起作用

Posted

技术标签:

【中文标题】cadvisor:提供密钥和证书时 TLS 不起作用【英文标题】:cadvisor: TLS not working when provinding a key and a certificate 【发布时间】:2021-05-05 22:34:10 【问题描述】:

根据 cadvisor 文档 (https://github.com/google/cadvisor/blob/master/docs/runtime_options.md#metrics),使用选项 collector_cert 和 collector_key 应该在 Prometheus 端点上启用 TLS。

我已经使用以下命令启动了 cadvisor 容器: docker run --rm -d --volume=/:/rootfs:ro --volume=/tmp/cadvisor.crt:/etc/ssl/cadvisor.crt --volume=/tmp/cadvisor.key:/etc/ssl/cadvisor.key --volume=/var/run:/var/run:rw --volume=/sys:/sys:ro --volume=/var/lib/docker/:/var/lib/docker:ro --publish=8080:8080 --name=cadvisor gcr.io/cadvisor/cadvisor:latest --collector_cert=/etc/ssl/cadvisor.crt --collector_key=/etc/ssl/cadvisor.key

但是当我尝试使用 curl https://127.0.0.1:8080/metrics -v 访问指标时,我收到以下错误:

* Trying 127.0.0.1:8080...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

另一方面,使用 curl http://127.0.0.1:8080/metrics -v 返回 docker 主机指标

*   Trying 127.0.0.1:8080...
* TCP_NODELAY set
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
> GET /metrics HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/7.68.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: text/plain; version=0.0.4; charset=utf-8
< Date: Mon, 01 Feb 2021 11:03:33 GMT
< Transfer-Encoding: chunked
< 
 [12148 bytes data]
100  300k    0  300k    0     0  4421k      0 --:--:-- --:--:-- --:--:-- 4357k
* Connection #0 to host 127.0.0.1 left intact

任何指针将不胜感激。

【问题讨论】:

【参考方案1】:

据我所知,cAdvisor 不支持 https。也许您可以改用反向代理? github上同题目有问题:https://github.com/google/cadvisor/issues/2539

这些标志用于从另一个启用了 TLS 身份验证的端点收集数据。

【讨论】:

以上是关于cadvisor:提供密钥和证书时 TLS 不起作用的主要内容,如果未能解决你的问题,请参考以下文章

云产品意外暴露用户的TLS证书密钥;JDK 11 已进入候选发布阶段

读取 X.509 密钥或证书文件时出错:解析时出错

开源反向代理 Traefik 暴露用户的 TLS 证书密钥

管理必须使用 TLS 的 Docker 容器的证书/密钥的最佳方法是啥

NGINX基本位置子路径,每个子路径具有不同的TLS证书和密钥

OpenSSL密钥和证书管理