普罗米修斯.operator.podmonitors
prometheus.operator.podmonitors
从您的 Kubernetes 集群中查找 PodMonitor 资源,并抓取它们引用的目标。该组件执行三个主要功能
- 从您的 Kubernetes 集群中查找 PodMonitor 资源。
- 在您的集群中查找匹配这些 PodMonitor 的 Pod。
- 从这些 Pod 中抓取指标,并将它们转发到接收器。
默认配置假定 Alloy 在 Kubernetes 集群内部运行,并使用集群内配置来访问 Kubernetes API。可以在集群外部运行,但需要提供 client
块中的连接信息,但必须对网络级别的 Pod 进行访问才能从它们抓取指标。
PodMonitors 可能会引用秘密以验证要抓取的目标。在这些情况下,只有在 PodMonitor 更新或此组件刷新其内部状态时(每 5 分钟刷新一次)才加载和刷新这些秘密。
用法
prometheus.operator.podmonitors "LABEL" {
forward_to = RECEIVER_LIST
}
参数
以下参数被支持
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
forward_to | list(MetricsReceiver) | 要将抓取指标发送到的接收器列表。 | yes | |
namespaces | list(string) | 要搜索 PodMonitor 资源的命名空间列表。如果没有指定,将搜索所有命名空间。 | no |
块
以下块在 prometheus.operator.podmonitors
定义内被支持
层次结构 | 块 | 描述 | 必需 |
---|---|---|---|
client | client | 配置用于查找 PodMonitors 的 Kubernetes 客户端。 | no |
client > basic_auth | basic_auth | 配置对 Kubernetes API 的基本身份验证。 | no |
client > authorization | authorization | 配置对 Kubernetes API 的通用身份验证。 | no |
client > oauth2 | oauth2 | 配置 OAuth2 以对 Kubernetes API 进行身份验证。 | no |
client > oauth2 > tls_config | tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | no |
client > tls_config | tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | no |
rule | rule | 应用到发现的目标的重定向规则。 | no |
scrape | scrape | 应用到发现的目标的默认抓取配置。 | no |
selector | selector | PodMonitor 的标记选择器。 | no |
selector > match_expression | match_expression | 要发现 PodMonitor 的标记选择器表达式。 | no |
clustering | clustering | 配置 Alloy 在集群模式下运行时的组件。 | no |
符号 >
表示嵌套水平更深层。例如,client > basic_auth
指的是定义在 client
块内部的 basic_auth
块。
client block
client
块配置用于发现 PodMonitors 的 Kubernetes 客户端。如果未提供 client
块,将使用默认的集群内配置和正在运行的 Alloy 容器的服务账户。
以下参数被支持
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
api_server | string | Kubernetes API 服务器 URL。 | no | |
kubeconfig_file | string | 用于连接到 Kubernetes 的 kubeconfig 文件的路径。 | no | |
bearer_token_file | string | 包含用于认证的 bearer token 的文件。 | no | |
bearer_token | secret | 用于认证的 bearer token。 | no | |
enable_http2 | bool | 是否支持 HTTP2 进行请求。 | true | no |
follow_redirects | bool | 是否应遵循服务器返回的重定向。 | true | no |
proxy_url | string | 用于发送请求的 HTTP 代理。 | no | |
no_proxy | string | 逗号分隔的 IP 地址、CIDR 表示法和域名列表,这些地址将从代理中排除。 | no | |
proxy_from_environment | bool | 使用环境变量中指示的代理 URL。 | false | no |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送到代理的头。 | no |
以下可提供之一
no_proxy
可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。proxy_url
必须配置,如果配置了 no_proxy
。
proxy_from_environment
使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的低字符串形式)。除非被 NO_PROXY 排除,否则请求将使用与它们的方案匹配的环境变量中的代理。如果配置了 proxy_from_environment
,则不应配置 proxy_url
和 no_proxy
。
proxy_connect_header
应仅在配置了 proxy_url
或 proxy_from_environment
时配置。
basic_auth
部分
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
password_file | string | 包含基本认证密码的文件。 | no | |
password | secret | 基本认证密码。 | no | |
username | string | 基本认证用户名。 | no |
password
和 password_file
是互斥的,并且在 basic_auth
块内部只能提供一个。
authorization
部分
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
credentials_file | string | 包含密钥值的文件。 | no | |
credentials | secret | 密钥值。 | no | |
type | string | 授权类型,例如,“Bearer”。 | no |
credential
和 credentials_file
是互斥的,并且在 authorization
块内部只能提供一个。
oauth2
部分
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
client_id | string | OAuth2 客户端 ID。 | no | |
client_secret_file | string | 包含 OAuth2 客户端密钥的文件。 | no | |
client_secret | secret | OAuth2 客户端密钥。 | no | |
endpoint_params | map(string) | 附加到令牌 URL 的可选参数。 | no | |
proxy_url | string | 用于发送请求的 HTTP 代理。 | no | |
no_proxy | string | 逗号分隔的 IP 地址、CIDR 表示法和域名列表,这些地址将从代理中排除。 | no | |
proxy_from_environment | bool | 使用环境变量中指示的代理 URL。 | false | no |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送到代理的头。 | no | |
scopes | list(string) | 用于认证的权限列表。 | no | |
token_url | string | 从中获取令牌的 URL。 | no |
client_secret
和 client_secret_file
是互斥的,并且在 oauth2
块内部只能提供一个。
oauth2
块还可以包含一个单独的 tls_config
子部分。
no_proxy
可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。proxy_url
必须配置,如果配置了 no_proxy
。
proxy_from_environment
使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的低字符串形式)。除非被 NO_PROXY 排除,否则请求将使用与它们的方案匹配的环境变量中的代理。如果配置了 proxy_from_environment
,则不应配置 proxy_url
和 no_proxy
。
proxy_connect_header
应仅在配置了 proxy_url
或 proxy_from_environment
时配置。
tls_config
部分
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
ca_pem | string | 用于验证服务器的 CA PEM 编码文本。 | no | |
ca_file | string | 用于验证服务器的 CA 证书。 | no | |
cert_pem | string | 客户端认证的证书 PEM 编码文本。 | no | |
cert_file | string | 客户端认证的证书文件。 | no | |
insecure_skip_verify | bool | 禁用服务器证书的验证。 | no | |
key_file | string | 客户端认证的密钥文件。 | no | |
key_pem | secret | 客户端认证的密钥 PEM 编码文本。 | no | |
min_version | string | 可接受的最小 TLS 版本。 | no | |
server_name | string | 用于指示服务器名称的 ServerName 扩展。 | no |
以下参数对是互斥的,不能同时设置
ca_pem
和ca_file
cert_pem
和cert_file
key_pem
和key_file
在配置客户端身份验证时,必须同时提供客户端证书(使用 cert_pem
或 cert_file
)和客户端密钥(使用 key_pem
或 key_file
)。
当未提供 min_version
时,可接受的最低 TLS 版本继承自 Go 的默认最低版本,即 TLS 1.2。如果提供了 min_version
,则必须将其设置为以下字符串之一
"TLS10"
(TLS 1.0)"TLS11"
(TLS 1.1)"TLS12"
(TLS 1.2)"TLS13"
(TLS 1.3)
规则块
rule
块包含可以应用于输入指标的任何重命名规则的定义。如果定义了多个 rule
块,则变换将自上而下应用。
以下参数可以用来配置一个 rule
。所有参数都是可选的。省略的字段将使用其默认值。
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
动作 | string | 要执行的重新命名动作。 | replace | no |
模数 | 无符号整数 | 用于计算哈希源标签值的模数的正整数。 | no | |
正则表达式 | string | 一个有效的 RE2 表达式,支持括号捕获组。用于匹配从 source_label 和 separator 字段的组合中提取的值,或在进行 labelkeep/labeldrop/labelmap 动作时过滤标签。 | (.*) | no |
替换 | string | 如果正则表达式与提取值匹配,则执行正则表达式替换的值,支持之前捕获的组。 | "$1" | no |
分隔符 | string | 用于连接 source_labels 中存在的值的分隔符。 | ; | no |
源标签 | list(string) | 要选择其值的标签列表。它们的内容将使用 separator 连接并对 regex 进行匹配。 | no | |
目标标签 | string | 将写入结果的标签。 | no |
可以使用以下动作
drop
- 丢弃与使用source_labels
和separator
提取的字符串匹配regex
的度量。dropequal
- 删除与连接的source_labels
匹配target_label
的目标。hashmod
- 对连接的标签进行哈希处理,计算其modulus
模,并将结果写入target_label
。keep
- 保留与使用source_labels
和separator
提取的字符串匹配regex
的度量。keepequal
- 删除与连接的source_labels
不匹配target_label
的目标。labeldrop
- 将regex
与所有标签名称匹配。所有匹配的标签都将从指标标签集中删除。labelkeep
- 将regex
与所有标签名称匹配。所有不匹配的标签都将从指标的标签集中删除。labelmap
- 将regex
与所有标签名称匹配。所有匹配的标签将根据replacement
字段的值进行重命名。lowercase
- 将target_label
设置为连接的source_labels
的小写形式。replace
- 将regex
与连接的标签进行匹配。如果匹配,则使用replacement
字段的值替换target_label
的内容。uppercase
- 将target_label
设置为连接的source_labels
的大写形式。
注意
可以使用$CAPTURE_GROUP_NUMBER
或${CAPTURE_GROUP_NUMBER}
语法引用正则表达式捕获组。
抓取块
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
default_scrape_interval | 持续时间 | 抓取目标之间的默认间隔。如果目标资源未提供抓取间隔,则用作默认值。 | 1m | no |
default_scrape_timeout | 持续时间 | 抓取请求的默认超时时间。如果目标资源不提供抓取超时,则作为默认值使用。 | 10s | no |
选择器区块
《selector》区块描述了PodMonitors的Kubernetes标签选择器。
以下参数被支持
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
match_labels | map(string) | 用于发现资源的标签键和值。 | {} | no |
当《match_labels》参数为空时,所有PodMonitor资源都将匹配。
match_expression区块
《match_expression》区块描述了PodMonitors发现时的Kubernetes标签匹配器表达式。
以下参数被支持
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
key | string | 用于匹配的标签名称。 | yes | |
operator | string | 匹配时要使用的运算符。 | yes | |
values | list(string) | 匹配时使用的值。 | no |
《operator》参数必须是以下字符串之一
"In"
"NotIn"
"Exists"
"DoesNotExist"
如果《selector》区块内存在多个《match_expressions》区块,它们将通过AND子句结合在一起。
clustering区块
名称 | 类型 | 描述 | 默认 | 必需 |
---|---|---|---|---|
enabled | bool | 启用与其他集群节点共享目标。 | false | yes |
当Alloy使用集群模式,并且《enabled》设置为true时,则该组件实例选择加入集群以在所有集群节点之间分配抓取负载。
集群假定所有集群节点都在同一配置文件下运行,并且所有已选择加入使用集群的《prometheus.operator.podmonitors》组件,在抓取间隔过程中都拥有相同的配置。
所有选择加入集群的《prometheus.operator.podmonitors》组件实例使用目标标签和一致的哈希算法来决定集群对之间每个目标的所有权。然后,每个对等节点仅抓取其负责的目标子集,从而使抓取负载得到分配。当一个节点加入或离开集群时,每个对等节点都会重新计算所有权并继续使用新的目标集进行抓取。这比所有节点都需要重新分配的hashmod分片表现更好,因为只有1/N的目标所有权被转移,但最终是一致的(而像hashmod分片那样是全部一致的)。
如果Alloy不在集群模式下运行,则该区块不产生效果,并且《prometheus.operator.podmonitors》抓取其参数中接收到的每个目标。
导出字段
《prometheus.operator.podmonitors》不导出任何字段。它将抓取的所有指标转发到与《forward_to》参数配置的接收器。
组件健康
当给定无效配置、Prometheus组件无法初始化或无法正确建立到Kubernetes API的连接时,《prometheus.operator.podmonitors》报告为不健康。
调试信息
《prometheus.operator.podmonitors》在其组件的调试端点上报告每个配置的抓取作业的最后抓取状态,包括发现的标签和最后抓取时间。
它还公开了每个已发现的PodMonitor的一些调试信息,包括在从PodMonitor中协调抓取配置时发现的任何错误。
调试指标
《prometheus.operator.podmonitors》不公开任何与组件相关的调试指标。
示例
此示例发现您的集群中的所有PodMonitors,并将收集到的指标转发到《prometheus.remote_write》组件。
prometheus.remote_write "staging" {
// Send metrics to a locally running Mimir.
endpoint {
url = "http://mimir:9009/api/v1/push"
basic_auth {
username = "example-user"
password = "example-password"
}
}
}
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
}
此示例将发现的PodMonitors限制为特定命名空间中具有标签《team=ops》的实例:`my-app`。
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
namespaces = ["my-app"]
selector {
match_expression {
key = "team"
operator = "In"
values = ["ops"]
}
}
}
此示例将应用额外的重标签规则来过滤发现的目标,按主机名进行过滤。如果以DaemonSet运行Alloy,则这可能很有用。
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
rule {
action = "keep"
regex = env("HOSTNAME")
source_labels = ["__meta_kubernetes_pod_node_name"]
}
}
兼容组件
《prometheus.operator.podmonitors》可以接受以下组件的参数
- 导出《Prometheus
MetricsReceiver
》组件
注意
连接某些组件可能不太合理,或者组件可能需要进一步配置才能正确连接。请参考相关文档以获取更多详细信息。