prometheus.operator.podmonitors
prometheus.operator.podmonitors 组件会发现 Kubernetes 集群中的 PodMonitor 资源,并抓取其引用的目标。此组件主要执行以下三个功能:
- 从 Kubernetes 集群发现 PodMonitor 资源。
- 发现集群中与这些 PodMonitor 匹配的 Pod。
- 从这些 Pod 抓取指标,并将其转发给接收器。
默认配置假设 Alloy 在 Kubernetes 集群内部运行,并使用集群内配置访问 Kubernetes API。您可以通过在 client 块中提供连接信息来从集群外部运行它,但需要网络级别访问 Pod 才能从中抓取指标。
PodMonitors 可能会引用用于向目标进行身份验证的 Secrets 以抓取它们。在这些情况下,Secret 仅在 PodMonitor 更新或此组件刷新其内部状态(每 5 分钟刷新一次)时加载和刷新。
用法
prometheus.operator.podmonitors "<LABEL>" {
forward_to = <RECEIVER_LIST>
}参数
您可以使用以下参数配置 prometheus.operator.podmonitors 组件:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
forward_to | list(MetricsReceiver) | 要将抓取的指标发送到的接收器列表。 | 是 | |
namespaces | list(string) | 搜索 PodMonitor 资源的命名空间列表。如果未指定,将搜索所有命名空间。 | 否 | |
informer_sync_timeout | duration | PodMonitor 资源初始同步的超时时间。 | 1m | 否 |
块
您可以使用以下块配置 prometheus.operator.podmonitors 组件:
| 名称 | 描述 | 必需 |
|---|---|---|
client | 配置用于查找 PodMonitor 的 Kubernetes 客户端。 | 否 |
client > authorization | 配置对 Kubernetes API 的通用授权。 | 否 |
client > basic_auth | 配置对 Kubernetes API 的基本认证。 | 否 |
client > oauth2 | 配置 OAuth 2.0 以对 Kubernetes API 进行身份验证。 | 否 |
client > oauth2 > tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | 否 |
client > tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | 否 |
clustering | 配置组件以在使用集群模式运行 Alloy 时使用。 | 否 |
rule | 应用于发现目标的重新标记规则。 | 否 |
scrape | 应用于发现目标的默认抓取配置。 | 否 |
selector | 用于发现 PodMonitor 的标签选择器。 | 否 |
selector > match_expression | 用于发现 PodMonitor 的标签选择器表达式。 | 否 |
> 符号表示更深的嵌套级别。例如,client > basic_auth 指的是在 client 块中定义的 basic_auth 块。
client
client 块配置用于发现 PodMonitor 的 Kubernetes 客户端。如果未提供 client 块,则使用运行中的 Alloy Pod 的服务帐户的默认集群内配置。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
api_server | 字符串 | Kubernetes API 服务器的 URL。 | 否 | |
kubeconfig_file | 字符串 | 用于连接 Kubernetes 的 kubeconfig 文件路径。 | 否 | |
bearer_token_file | 字符串 | 包含用于身份验证的 bearer token 的文件。 | 否 | |
bearer_token | secret | 用于身份验证的 Bearer token。 | 否 | |
enable_http2 | bool | 请求是否支持 HTTP2。 | true | 否 |
follow_redirects | bool | 是否应遵循服务器返回的重定向。 | true | 否 |
http_headers | map(list(secret)) | 随每个请求发送的自定义 HTTP 头部。map 的键是头部名称。 | 否 | |
proxy_url | 字符串 | 用于发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 要从代理中排除的 IP 地址、CIDR 表示法和域名组成的逗号分隔列表。 | 否 | |
proxy_from_environment | bool | 使用环境变量指示的代理 URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头部。 | 否 |
最多可提供以下之一:
no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy,则必须配置 proxy_url。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或其小写版本)。除非被 NO_PROXY 排除,否则请求使用与其方案匹配的环境变量中的代理。如果配置了 proxy_from_environment,则不得配置 proxy_url 和 no_proxy。
只有在配置了 proxy_url 或 proxy_from_environment 时才应配置 proxy_connect_header。
authorization
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
credentials_file | 字符串 | 包含 Secret 值的的文件。 | 否 | |
credentials | secret | Secret 值。 | 否 | |
type | 字符串 | 授权类型,例如 “Bearer”。 | 否 |
credential 和 credentials_file 是互斥的,在 authorization 块中只能提供其中一个。
basic_auth
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
password_file | 字符串 | 包含基本认证密码的文件。 | 否 | |
password | secret | 基本认证密码。 | 否 | |
username | 字符串 | 基本认证用户名。 | 否 |
password 和 password_file 是互斥的,在 basic_auth 块中只能提供其中一个。
oauth2
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
client_id | 字符串 | OAuth2 客户端 ID。 | 否 | |
client_secret_file | 字符串 | 包含 OAuth2 客户端 Secret 的文件。 | 否 | |
client_secret | secret | OAuth2 客户端 Secret。 | 否 | |
endpoint_params | map(string) | 要附加到 token URL 的可选参数。 | 否 | |
proxy_url | 字符串 | 用于发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 要从代理中排除的 IP 地址、CIDR 表示法和域名组成的逗号分隔列表。 | 否 | |
proxy_from_environment | bool | 使用环境变量指示的代理 URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头部。 | 否 | |
scopes | list(string) | 用于身份验证的 scopes 列表。 | 否 | |
token_url | 字符串 | 获取 token 的 URL。 | 否 |
client_secret 和 client_secret_file 是互斥的,在 oauth2 块中只能提供其中一个。
oauth2 块还可以包含一个单独的 tls_config 子块。
no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy,则必须配置 proxy_url。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或其小写版本)。除非被 NO_PROXY 排除,否则请求使用与其方案匹配的环境变量中的代理。如果配置了 proxy_from_environment,则不得配置 proxy_url 和 no_proxy。
只有在配置了 proxy_url 或 proxy_from_environment 时才应配置 proxy_connect_header。
tls_config
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
ca_pem | 字符串 | 用于验证服务器的 CA PEM 编码文本。 | 否 | |
ca_file | 字符串 | 用于验证服务器的 CA 证书。 | 否 | |
cert_pem | 字符串 | 用于客户端身份验证的证书 PEM 编码文本。 | 否 | |
cert_file | 字符串 | 用于客户端身份验证的证书文件。 | 否 | |
insecure_skip_verify | bool | 禁用服务器证书验证。 | 否 | |
key_file | 字符串 | 用于客户端身份验证的密钥文件。 | 否 | |
key_pem | secret | 用于客户端身份验证的密钥 PEM 编码文本。 | 否 | |
min_version | 字符串 | 可接受的最低 TLS 版本。 | 否 | |
server_name | 字符串 | ServerName 扩展,用于指示服务器名称。 | 否 |
以下参数对是互斥的,不能同时设置:
ca_pem和ca_filecert_pem和cert_filekey_pem和key_file
配置客户端身份验证时,必须同时提供客户端证书(使用 cert_pem 或 cert_file)和客户端密钥(使用 key_pem 或 key_file)。
如果未提供 min_version,则可接受的最低 TLS 版本继承自 Go 的默认最低版本,即 TLS 1.2。如果提供了 min_version,则必须设置为以下字符串之一:
"TLS10"(TLS 1.0)"TLS11"(TLS 1.1)"TLS12"(TLS 1.2)"TLS13"(TLS 1.3)
clustering
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
enabled | bool | 启用与其他集群节点共享目标。 | false | 是 |
当 Alloy 使用集群功能并且 enabled 设置为 true 时,此组件实例会选择参与集群,以在所有集群节点之间分配抓取负载。
集群假定所有集群节点都使用相同的配置文件运行,并且所有选择使用集群功能的 prometheus.operator.podmonitors 组件在抓取间隔期间具有相同的配置。
所有选择使用集群功能的 prometheus.operator.podmonitors 组件实例使用目标标签和一致性哈希算法来确定集群对等节点之间每个目标的归属权。然后,每个对等节点仅抓取其负责的目标子集,以便分配抓取负载。当一个节点加入或离开集群时,每个对等节点都会重新计算归属权,并继续使用新的目标集进行抓取。这比 hashmod 分片(其中所有节点都必须重新分配)性能更好,因为只转移了目标的 1/N 的归属权,但它是最终一致的(不像 hashmod 分片那样完全一致)。
如果 Alloy 未在集群模式下运行,则此块无效,并且 prometheus.operator.podmonitors 组件会抓取其参数中接收到的每个目标。
rule
rule 块包含可应用于输入指标的任何重新标记规则的定义。如果定义了多个 rule 块,则转换将按自上而下的顺序应用。
可以使用以下参数配置 rule 块。所有参数都是可选的。省略的字段将采用其默认值。
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
action | 字符串 | 要执行的重新标记操作。 | replace | 否 |
modulus | uint | 一个正整数,用于计算哈希源标签值的模。 | 否 | |
regex | 字符串 | 支持带括号捕获组的有效 RE2 表达式。用于匹配从 source_label 和 separator 字段组合中提取的值,或在 labelkeep/labeldrop/labelmap 操作期间过滤标签。 | (.*) | 否 |
replacement | 字符串 | 如果正则表达式与提取的值匹配,则执行正则表达式替换所依据的值。支持先前捕获的组。 | "$1" | 否 |
separator | 字符串 | 用于连接 source_labels 中存在的值的分隔符。 | ; | 否 |
source_labels | list(string) | 其值将被选择的标签列表。它们的内容使用 separator 连接并与 regex 匹配。 | 否 | |
target_label | 字符串 | 结果值将写入的标签。 | 否 |
您可以使用以下操作:
drop- 删除regex与使用source_labels和separator提取的字符串匹配的指标。dropequal- 丢弃连接后的source_labels与target_label匹配的目标。hashmod- 对连接后的标签进行哈希计算,计算其与modulus的模,并将结果写入target_label。keep- 保留regex与使用source_labels和separator提取的字符串匹配的指标。keepequal- 丢弃连接后的source_labels与target_label不匹配的目标。labeldrop- 将regex与所有标签名进行匹配。任何匹配的标签将从指标的标签集中移除。labelkeep- 将regex与所有标签名进行匹配。任何不匹配的标签将从指标的标签集中移除。labelmap- 将regex与所有标签名进行匹配。任何匹配的标签将根据replacement字段的内容进行重命名。lowercase- 将target_label设置为连接后的source_labels的小写形式。replace- 将regex与连接后的标签进行匹配。如果匹配成功,则使用replacement字段的内容替换target_label的内容。uppercase- 将target_label设置为连接后的source_labels的大写形式。
注意
正则表达式捕获组可以使用
$CAPTURE_GROUP_NUMBER或${CAPTURE_GROUP_NUMBER}表示法进行引用。
scrape
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
default_scrape_interval | duration | 抓取目标之间的默认间隔。如果目标资源未提供抓取间隔,则使用此默认值。 | 1m | 否 |
default_scrape_timeout | duration | 抓取请求的默认超时时间。如果目标资源未提供抓取超时时间,则使用此默认值。 | 10s | 否 |
selector
selector 块描述了用于 PodMonitor 的 Kubernetes 标签选择器。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
match_labels | map(string) | 用于发现资源的标签键和值。 | {} | 否 |
当 match_labels 参数为空时,所有 PodMonitor 资源都将匹配。
match_expression
match_expression 块描述了用于 PodMonitor 发现的 Kubernetes 标签匹配器表达式。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
key | 字符串 | 要匹配的标签名称。 | 是 | |
operator | 字符串 | 匹配时使用的运算符。 | 是 | |
values | list(string) | 匹配时使用的值。 | 否 |
operator 参数必须是以下字符串之一:
"In""NotIn""Exists""DoesNotExist"
如果 selector 块中有多个 match_expressions 块,它们将通过 AND 子句组合在一起。
导出字段
prometheus.operator.podmonitors 组件不导出任何字段。它将抓取的所有指标转发给使用 forward_to 参数配置的接收器。
组件健康状态
当提供无效配置、Prometheus 组件初始化失败或无法正确建立与 Kubernetes API 的连接时,prometheus.operator.podmonitors 组件会被报告为不健康。
调试信息
prometheus.operator.podmonitors 组件在其调试端点上报告每个已配置抓取任务的最后一次抓取状态,包括发现的标签和最后抓取时间。
它还暴露了其发现的每个 PodMonitor 的一些调试信息,包括协调 PodMonitor 中的抓取配置时发现的任何错误。
调试指标
prometheus.operator.podmonitors 组件不暴露任何组件特定的调试指标。
示例
以下示例发现集群中的所有 PodMonitor,并将收集的指标转发到 prometheus.remote_write 组件。
prometheus.remote_write "staging" {
// Send metrics to a locally running Mimir.
endpoint {
url = "http://mimir:9009/api/v1/push"
basic_auth {
username = "example-user"
password = "example-password"
}
}
}
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
}此示例将发现的 PodMonitor 限制为特定命名空间 my-app 中带有标签 team=ops 的那些。
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
namespaces = ["my-app"]
selector {
match_expression {
key = "team"
operator = "In"
values = ["ops"]
}
}
}以下示例对发现的目标应用额外的重新标记规则以按主机名过滤。这在将 Alloy 作为 DaemonSet 运行时可能很有用。
prometheus.operator.podmonitors "pods" {
forward_to = [prometheus.remote_write.staging.receiver]
rule {
action = "keep"
regex = sys.env("<HOSTNAME>")
source_labels = ["__meta_kubernetes_pod_node_name"]
}
}兼容的组件
prometheus.operator.podmonitors 组件可以接受来自以下组件的参数:
- 导出 Prometheus
MetricsReceiver的组件
注意
连接某些组件可能不合理,或者组件可能需要进一步配置才能使连接正常工作。请参阅链接的文档以获取更多详细信息。
本页是否有帮助?
Grafana Labs 的相关资源
