discovery.kubernetes
discovery.kubernetes
允许您从 Kubernetes 资源中发现抓取目标。它监视集群状态,并确保目标与集群中当前运行的内容持续同步。
如果您不提供连接信息,此组件默认使用集群内配置。可以使用 kubeconfig 文件或手动连接设置覆盖默认值。
用法
discovery.kubernetes "<LABEL>" {
role = "<DISCOVERY_ROLE>"
}
参数
您可以将以下参数与 discovery.kubernetes
一起使用
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
role | string | 要查询的 Kubernetes 资源类型。 | 是 | |
api_server | string | Kubernetes API 服务器的 URL。 | 否 | |
bearer_token_file | string | 包含用于认证的 bearer token 的文件。 | 否 | |
bearer_token | secret | 用于认证的 Bearer token。 | 否 | |
enable_http2 | bool | 请求是否支持 HTTP2。 | true | 否 |
follow_redirects | bool | 是否应遵循服务器返回的重定向。 | true | 否 |
http_headers | map(list(secret)) | 随每个请求发送的自定义 HTTP 头。map 键是头名称。 | 否 | |
kubeconfig_file | string | 用于连接 Kubernetes 的 kubeconfig 文件路径。 | 否 | |
no_proxy | string | 逗号分隔的 IP 地址、CIDR 表示法和域名列表,用于排除代理。 | 否 | |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头。 | 否 | |
proxy_from_environment | bool | 使用环境变量指示的代理 URL。 | false | 否 |
proxy_url | string | 发送请求通过的 HTTP 代理。 | 否 |
最多可以提供以下之一
no_proxy
可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy
,则必须配置 proxy_url
。
proxy_from_environment
使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的小写版本)。请求使用与其方案匹配的环境变量中的代理,除非被 NO_PROXY 排除。如果配置了 proxy_from_environment
,则不能配置 proxy_url
和 no_proxy
。
仅当配置了 proxy_url
或 proxy_from_environment
时,才应配置 proxy_connect_header
。
role
参数是必需的,用于指定要发现的目标类型。role
必须是 node
、pod
、service
、endpoints
、endpointslice
或 ingress
之一。
node
角色
node
角色发现每个集群节点一个目标,地址默认为 kubelet daemon 的 HTTP 端口。目标地址默认按 NodeInternalIP
、NodeExternalIP
、NodeLegacyHostIP
和 NodeHostName
的顺序取 Kubernetes 节点对象的第一个地址。
发现的节点包含以下标签
__meta_kubernetes_node_address_<address_type>
: 每种节点地址类型的第一个地址,如果存在。__meta_kubernetes_node_annotation_<annotationname>
: 节点对象的每个 annotation。__meta_kubernetes_node_annotationpresent_<annotationname>
: 对于节点对象的每个 annotation,设置为true
。__meta_kubernetes_node_label_<labelname>
: 节点对象的每个 label。__meta_kubernetes_node_labelpresent_<labelname>
: 对于节点对象的每个 label,设置为true
。__meta_kubernetes_node_name
: 节点对象的名称。__meta_kubernetes_node_provider_id
: 云提供商为节点对象指定的名称。
此外,节点的 instance
标签设置为从 API 服务器获取的节点名称。
service
角色
service
角色为每个服务的每个服务端口发现一个目标。这通常对于外部监控服务很有用。地址设置为服务的 Kubernetes DNS 名称和相应的服务端口。
发现的服务包含以下标签
__meta_kubernetes_namespace
: 服务对象的命名空间。__meta_kubernetes_service_annotation_<annotationname>
: 服务对象的每个 annotation。__meta_kubernetes_service_annotationpresent_<annotationname>
: 对于服务对象的每个 annotation,设置为true
。__meta_kubernetes_service_cluster_ip
: 服务的集群 IP 地址。这不适用于类型为ExternalName
的服务。__meta_kubernetes_service_external_name
: 服务的 DNS 名称。这仅适用于类型为ExternalName
的服务。__meta_kubernetes_service_label_<labelname>
: 服务对象的每个 label。__meta_kubernetes_service_labelpresent_<labelname>
: 对于服务对象的每个 label,设置为true
。__meta_kubernetes_service_name
: 服务对象的名称。__meta_kubernetes_service_port_name
: 目标的 Service 端口名称。__meta_kubernetes_service_port_number
: 目标的 Service 端口号。__meta_kubernetes_service_port_protocol
: 目标的 Service 端口协议。__meta_kubernetes_service_type
: 服务的类型。
pod
角色
pod
角色发现所有 Pod 并将其容器暴露为目标。对于容器的每个声明端口,都会生成一个目标。
如果容器没有指定端口,则会为每个容器创建一个无端口目标。这些目标必须手动注入一个端口,可以使用 discovery.relabel
组件,然后才能从中收集指标。
发现的 Pod 包含以下标签
__meta_kubernetes_namespace
: Pod 对象的命名空间。__meta_kubernetes_pod_annotation_<annotationname>
: Pod 对象的每个 annotation。__meta_kubernetes_pod_annotationpresent_<annotationname>
: 对于 Pod 对象的每个 annotation,设置为true
。__meta_kubernetes_pod_container_id
: 目标地址指向的容器 ID。ID 格式为<type>://<container_id>
。__meta_kubernetes_pod_container_image
: 容器使用的镜像。__meta_kubernetes_pod_container_init
: 如果容器是InitContainer
,则设置为true
。__meta_kubernetes_pod_container_name
: 目标地址指向的容器名称。__meta_kubernetes_pod_container_port_name
: 容器端口名称。__meta_kubernetes_pod_container_port_number
: 容器端口号。__meta_kubernetes_pod_container_port_protocol
: 容器端口协议。__meta_kubernetes_pod_controller_kind
: Pod 控制器的对象类型。__meta_kubernetes_pod_controller_name
: Pod 控制器的名称。__meta_kubernetes_pod_host_ip
: Pod 对象的当前主机 IP。__meta_kubernetes_pod_ip
: Pod 对象的 Pod IP。__meta_kubernetes_pod_label_<labelname>
: Pod 对象的每个 label。__meta_kubernetes_pod_labelpresent_<labelname>
: 对于 Pod 对象的每个 label,设置为true
。__meta_kubernetes_pod_name
: Pod 对象的名称。__meta_kubernetes_pod_node_name
: Pod 被调度到的节点名称。__meta_kubernetes_pod_phase
: 在生命周期中设置为Pending
、Running
、Succeeded
、Failed
或Unknown
。__meta_kubernetes_pod_ready
: 对于 Pod 的就绪状态,设置为true
或false
。__meta_kubernetes_pod_uid
: Pod 对象的 UID。
endpoints
角色
endpoints
角色从服务的列出 endpoint 中发现目标。对于每个 endpoint 地址,每个端口发现一个目标。如果 endpoint 由 Pod 支持,则发现 Pod 的所有容器端口作为目标,即使它们未绑定到 endpoint 端口。
发现的 endpoint 包含以下标签
__meta_kubernetes_endpoints_label_<labelname>
: endpoint 对象的每个 label。__meta_kubernetes_endpoints_labelpresent_<labelname>
: 对于 endpoint 对象的每个 label,设置为true
。__meta_kubernetes_endpoints_name:
endpoint 对象的名称。__meta_kubernetes_namespace:
endpoint 对象的命名空间。直接从 endpoint 列表发现的所有目标都附加以下标签
__meta_kubernetes_endpoint_address_target_kind
: endpoint 地址目标的类型。__meta_kubernetes_endpoint_address_target_name
: endpoint 地址目标的名称。__meta_kubernetes_endpoint_hostname
: endpoint 的主机名。__meta_kubernetes_endpoint_node_name
: 托管 endpoint 的节点名称。__meta_kubernetes_endpoint_port_name
: endpoint 端口名称。__meta_kubernetes_endpoint_port_protocol
: endpoint 端口协议。__meta_kubernetes_endpoint_ready
: 对于 endpoint 的就绪状态,设置为true
或false
。
如果 endpoint 属于某个服务,则附加
service
角色发现的所有标签。对于所有由 Pod 支持的目标,附加
pod
角色发现的所有标签。
endpointslice
角色
endpointslice
角色从现有的 Kubernetes endpoint slice 中发现目标。对于 EndpointSlice
对象中引用的每个 endpoint 地址,发现一个目标。如果 endpoint 由 Pod 支持,则发现 Pod 的所有容器端口作为目标,即使它们未绑定到 endpoint 端口。
发现的 endpoint slice 包含以下标签
__meta_kubernetes_endpointslice_name
: endpoint slice 对象的名称。__meta_kubernetes_namespace
: endpoint 对象的命名空间。直接从 endpoint slice 列表发现的所有目标都附加以下标签
__meta_kubernetes_endpointslice_address_target_kind
: 引用对象的类型。__meta_kubernetes_endpointslice_address_target_name
: 引用对象的名称。__meta_kubernetes_endpointslice_address_type
: 目标的地址的 IP 协议族。__meta_kubernetes_endpointslice_endpoint_conditions_ready
: 对于引用的 endpoint 的就绪状态,设置为true
或false
。__meta_kubernetes_endpointslice_endpoint_topology_kubernetes_io_hostname
: 托管引用 endpoint 的节点名称。__meta_kubernetes_endpointslice_endpoint_topology_present_kubernetes_io_hostname
: 如果引用对象有kubernetes.io/hostname
annotation,则设置为true
。__meta_kubernetes_endpointslice_endpoint_hostname
: 引用 endpoint 的主机名。__meta_kubernetes_endpointslice_endpoint_node_name
: 托管引用 endpoint 的节点名称。__meta_kubernetes_endpointslice_endpoint_zone
: 引用 endpoint 所在的区域(仅在使用discovery.k8s.io/v1
API 组时可用)。__meta_kubernetes_endpointslice_port_name
: 引用 endpoint 的命名端口。__meta_kubernetes_endpointslice_port_protocol
: 引用 endpoint 的协议。__meta_kubernetes_endpointslice_port
: 引用 endpoint 的端口。
如果 endpoint 属于某个服务,则附加
service
角色发现的所有标签。对于所有由 Pod 支持的目标,附加
pod
角色发现的所有标签。
ingress
角色
ingress
角色为每个 ingress 的每个路径发现一个目标。这通常对于外部监控 ingress 很有用。地址设置为 Kubernetes Ingress
的 spec
块中指定的主机。
发现的 ingress 对象包含以下标签
__meta_kubernetes_ingress_annotation_<annotationname>
: ingress 对象的每个 annotation。__meta_kubernetes_ingress_annotationpresent_<annotationname>
: 对于 ingress 对象的每个 annotation,设置为true
。__meta_kubernetes_ingress_class_name
: ingress spec 中的类名,如果存在。__meta_kubernetes_ingress_label_<labelname>
: ingress 对象的每个 label。__meta_kubernetes_ingress_labelpresent_<labelname>
: 对于 ingress 对象的每个 label,设置为true
。__meta_kubernetes_ingress_name
: ingress 对象的名称。__meta_kubernetes_ingress_path
: ingress spec 中的路径。默认为 /。__meta_kubernetes_ingress_scheme
: ingress 的协议方案,如果设置了 TLS 配置则为https
。默认为http
。__meta_kubernetes_namespace
: ingress 对象的命名空间。
块
您可以将以下块与 discovery.kubernetes
一起使用
块 | 描述 | 必填 |
---|---|---|
attach_metadata | 要附加到发现的目标的可选元数据。 | 否 |
authorization | 配置端点通用授权。 | 否 |
basic_auth | 配置 basic_auth 以进行端点认证。 | 否 |
namespaces | 关于要搜索哪些 Kubernetes 命名空间的信息。 | 否 |
oauth2 | 配置 OAuth 2.0 以进行端点认证。 | 否 |
oauth2 > tls_config | 配置连接到端点的 TLS 设置。 | 否 |
selectors | 选择器,用于过滤发现的 Kubernetes 资源。 | 否 |
tls_config | 配置连接到端点的 TLS 设置。 | 否 |
> 符号表示更深层次的嵌套。例如,oauth2
> tls_config
指的是在 oauth2
块内定义的 tls_config
块。
attach_metadata
attach_metadata
块允许您将节点元数据附加到发现的目标。此块对 pod
、endpoints
和 endpointslice
角色有效。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
node | bool | 附加节点元数据。 | 否 |
authorization
authorization
块配置端点通用授权。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
credentials_file | string | 包含 secret 值的文件。 | 否 | |
credentials | secret | Secret 值。 | 否 | |
type | string | 授权类型,例如,“Bearer”。 | 否 |
credential
和 credentials_file
相互排斥,在一个 authorization
块中只能提供其中一个。
basic_auth
basic_auth
块配置端点基本认证。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
password_file | string | 包含基本认证密码的文件。 | 否 | |
password | secret | 基本认证密码。 | 否 | |
username | string | 基本认证用户名。 | 否 |
password
和 password_file
相互排斥,在一个 basic_auth
块中只能提供其中一个。
namespaces
namespaces
块限制了在哪些命名空间中发现资源。如果省略此块,则搜索所有命名空间。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
names | list(string) | 要搜索的命名空间列表。 | 否 | |
own_namespace | bool | 包含 Alloy 运行所在的命名空间。 | 否 |
oauth2
oauth
块配置端点 OAuth 2.0 认证。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
client_id | string | OAuth2 客户端 ID。 | 否 | |
client_secret_file | string | 包含 OAuth2 客户端 secret 的文件。 | 否 | |
client_secret | secret | OAuth2 客户端 secret。 | 否 | |
endpoint_params | map(string) | 要附加到 token URL 的可选参数。 | 否 | |
proxy_url | string | 发送请求通过的 HTTP 代理。 | 否 | |
no_proxy | string | 逗号分隔的 IP 地址、CIDR 表示法和域名列表,用于排除代理。 | 否 | |
proxy_from_environment | bool | 使用环境变量指示的代理 URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头。 | 否 | |
scopes | list(string) | 用于认证的 scope 列表。 | 否 | |
token_url | string | 从哪里获取 token 的 URL。 | 否 |
client_secret
和 client_secret_file
相互排斥,在一个 oauth2
块中只能提供其中一个。
oauth2
块还可以包含一个独立的 tls_config
子块。
no_proxy
可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy
,则必须配置 proxy_url
。
proxy_from_environment
使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的小写版本)。请求使用与其方案匹配的环境变量中的代理,除非被 NO_PROXY 排除。如果配置了 proxy_from_environment
,则不能配置 proxy_url
和 no_proxy
。
仅当配置了 proxy_url
或 proxy_from_environment
时,才应配置 proxy_connect_header
。
selectors
selectors
块包含可选的标签和字段选择器,用于将发现过程限制到资源的子集。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
role | string | 选择器的角色。 | 是 | |
field | string | 字段选择器字符串。 | 否 | |
label | string | 标签选择器字符串。 | 否 |
有关可用的过滤器,请参阅 Kubernetes 文档中的字段选择器和标签和选择器。
endpoint 角色支持 Pod、服务和 endpoint 选择器。当配置 attach_metadata: {node: true}
时,Pod 角色支持节点选择器。其他角色仅支持匹配其自身角色的选择器。例如,node 角色只能包含节点选择器。
注意
使用多个具有不同选择器的
discovery.kubernetes
组件可能会增加 Kubernetes API 的负载。对于超大型集群中检索少量资源,建议使用选择器。对于小型集群,建议避免使用选择器,而倾向于使用
discovery.relabel
组件进行过滤。
tls_config
tls_config
块配置连接到端点的 TLS 设置。
名称 | 类型 | 描述 | 默认值 | 必填 |
---|---|---|---|---|
ca_pem | string | PEM 编码的 CA 文本,用于验证服务器。 | 否 | |
ca_file | string | 用于验证服务器的 CA 证书文件。 | 否 | |
cert_pem | string | PEM 编码的客户端认证证书文本。 | 否 | |
cert_file | string | 用于客户端认证的证书文件。 | 否 | |
insecure_skip_verify | bool | 禁用服务器证书验证。 | 否 | |
key_file | string | 用于客户端认证的密钥文件。 | 否 | |
key_pem | secret | PEM 编码的客户端认证密钥文本。 | 否 | |
min_version | string | 最低可接受的 TLS 版本。 | 否 | |
server_name | string | ServerName 扩展,用于指示服务器名称。 | 否 |
以下参数对相互排斥,不能同时设置
ca_pem
和ca_file
cert_pem
和cert_file
key_pem
和key_file
配置客户端认证时,必须同时提供客户端证书(使用 cert_pem
或 cert_file
)和客户端密钥(使用 key_pem
或 key_file
)。
未提供 min_version
时,最低可接受的 TLS 版本继承自 Go 的默认最低版本 TLS 1.2。如果提供 min_version
,则必须设置为以下字符串之一
"TLS10"
(TLS 1.0)"TLS11"
(TLS 1.1)"TLS12"
(TLS 1.2)"TLS13"
(TLS 1.3)
导出字段
以下字段被导出,可供其他组件引用
名称 | 类型 | 描述 |
---|---|---|
targets | list(map(string)) | 从 Kubernetes API 发现的目标集合。 |
组件健康状态
当配置无效时,discovery.kubernetes
被报告为不健康。在这种情况下,导出字段保留其最后一次健康时的值。
调试信息
discovery.kubernetes
不暴露任何组件特定的调试信息。
调试指标
discovery.kubernetes
不暴露任何组件特定的调试指标。
示例
集群内发现
此示例使用集群内认证来发现所有 Pod
discovery.kubernetes "k8s_pods" {
role = "pod"
}
prometheus.scrape "demo" {
targets = discovery.kubernetes.k8s_pods.targets
forward_to = [prometheus.remote_write.demo.receiver]
}
prometheus.remote_write "demo" {
endpoint {
url = "<PROMETHEUS_REMOTE_WRITE_URL>"
basic_auth {
username = "<USERNAME>"
password = "<PASSWORD>"
}
}
}
替换以下内容
<PROMETHEUS_REMOTE_WRITE_URL>
: 用于发送指标的 Prometheus remote_write 兼容服务器的 URL。<USERNAME>
: 用于向remote_write
API 认证的用户名。<PASSWORD>
: 用于向remote_write
API 认证的密码。
Kubeconfig 认证
此示例使用 Kubeconfig 文件向 Kubernetes API 进行认证
discovery.kubernetes "k8s_pods" {
role = "pod"
kubeconfig_file = "/etc/k8s/kubeconfig.yaml"
}
prometheus.scrape "demo" {
targets = discovery.kubernetes.k8s_pods.targets
forward_to = [prometheus.remote_write.demo.receiver]
}
prometheus.remote_write "demo" {
endpoint {
url = "<PROMETHEUS_REMOTE_WRITE_URL>"
basic_auth {
username = "<USERNAME>"
password = "<PASSWORD>"
}
}
}
替换以下内容
<PROMETHEUS_REMOTE_WRITE_URL>
: 用于发送指标的 Prometheus remote_write 兼容服务器的 URL。<USERNAME>
: 用于向remote_write
API 认证的用户名。<PASSWORD>
: 用于向remote_write
API 认证的密码。
限制搜索命名空间并按标签值过滤
此示例限制搜索的命名空间,并且只选择附加了特定标签值的 Pod
discovery.kubernetes "k8s_pods" {
role = "pod"
selectors {
role = "pod"
label = "app.kubernetes.io/name=prometheus-node-exporter"
}
namespaces {
names = ["myapp"]
}
}
prometheus.scrape "demo" {
targets = discovery.kubernetes.k8s_pods.targets
forward_to = [prometheus.remote_write.demo.receiver]
}
prometheus.remote_write "demo" {
endpoint {
url = "<PROMETHEUS_REMOTE_WRITE_URL>"
basic_auth {
username = "<USERNAME>"
password = "<PASSWORD>"
}
}
}
替换以下内容
<PROMETHEUS_REMOTE_WRITE_URL>
: 用于发送指标的 Prometheus remote_write 兼容服务器的 URL。<USERNAME>
: 用于向remote_write
API 认证的用户名。<PASSWORD>
: 用于向remote_write
API 认证的密码。
仅限于同一节点上的 Pod
此示例将搜索限制在与此 Alloy 位于同一节点上的 Pod。如果您正在以 DaemonSet 方式运行 Alloy,此配置可能有用。
注意
此示例假定您已使用 Helm chart 在 Kubernetes 中部署 Alloy,并将
HOSTNAME
设置为 Kubernetes 主机名。如果您有自定义的 Kubernetes Deployment,则必须根据您的配置调整此示例。
discovery.kubernetes "k8s_pods" {
role = "pod"
selectors {
role = "pod"
field = "spec.nodeName=" + coalesce(sys.env("HOSTNAME"), constants.hostname)
}
}
prometheus.scrape "demo" {
targets = discovery.kubernetes.k8s_pods.targets
forward_to = [prometheus.remote_write.demo.receiver]
}
prometheus.remote_write "demo" {
endpoint {
url = "<PROMETHEUS_REMOTE_WRITE_URL>"
basic_auth {
username = "<USERNAME>"
password = "<PASSWORD>"
}
}
}
替换以下内容
<PROMETHEUS_REMOTE_WRITE_URL>
: 用于发送指标的 Prometheus remote_write 兼容服务器的 URL。<USERNAME>
: 用于向remote_write
API 认证的用户名。<PASSWORD>
: 用于向remote_write
API 认证的密码。
兼容组件
discovery.kubernetes
具有可由以下组件使用的导出
- Targets 消费者组件
注意
连接某些组件可能不合理,或者组件可能需要进一步配置才能正常工作。有关更多详细信息,请参阅链接的文档。