参考

组件

prometheus

prometheus.operator.servicemonitors

开源

prometheus.operator.servicemonitors

prometheus.operator.servicemonitors会在您的Kubernetes集群中查找ServiceMonitor资源，并抓取它们引用的目标。此组件执行三个主要功能

从Kubernetes集群中查找ServiceMonitor资源。
查找集群中匹配这些ServiceMonitors的服务和端点。
从这些端点抓取指标，并将它们转发到接收器。

默认配置假设Alloy在Kubernetes集群内部运行，并使用集群内配置来访问Kubernetes API。可以通过在client块中提供连接信息从集群外部运行，但需要访问发现端点的网络级别才能从它们那里抓取指标。

ServiceMonitors可能引用秘密以对目标进行身份验证并抓取它们。在这些情况下，只有在ServiceMonitor更新或此组件刷新其内部状态时（每5分钟刷新一次）才会加载和刷新秘密。

用法

prometheus.operator.servicemonitors "LABEL" {
    forward_to = RECEIVER_LIST
}

参数

以下参数受支持

名称	类型	描述	默认值	必需
`forward_to`	`list(MetricsReceiver)`	要将抓取的指标发送到的接收器列表。		yes
`namespaces`	`list(string)`	要搜索ServiceMonitor资源的命名空间列表。如果没有指定，将搜索所有命名空间。		no

块

以下块支持在prometheus.operator.servicemonitors定义内部使用

层次结构	块	描述	必需
client	client	配置用于查找ServiceMonitors的Kubernetes客户端。	no
client > basic_auth	basic_auth	配置对Kubernetes API的基本身份验证。	no
client > authorization	authorization	配置对Kubernetes API的通用身份验证。	no
client > oauth2	oauth2	配置对Kubernetes API的OAuth2身份验证。	no
client > oauth2 > tls_config	tls_config	配置连接到Kubernetes API的TLS设置。	no
client > tls_config	tls_config	配置连接到Kubernetes API的TLS设置。	no
rule	rule	应用于发现目标的重命名规则。	no
scrape	scrape	默认抓取配置，用于应用在发现的目标上。	no
选择器	选择器	用于发现 ServiceMonitors 的标签选择器。	no
选择器 > 匹配表达式	匹配表达式	用于发现 ServiceMonitors 的标签选择器表达式。	no
集群	集群	在 Alloy 以集群模式运行时配置组件。	no

> 符号表示更深的嵌套层次。例如，client > basic_auth 指的是在 client 块内部定义的 basic_auth 块。

client 块

client 块配置了用于发现 ServiceMonitors 的 Kubernetes 客户端。如果没有提供 client 块，则使用默认的集群配置，即运行中的 Alloy 容器的服务账户。

以下参数受支持

名称	类型	描述	默认值	必需
`api_server`	`字符串`	Kubernetes API 服务器的 URL。		no
`kubeconfig_file`	`字符串`	用于连接到 Kubernetes 的 `kubeconfig` 文件的路径。		no
`bearer_token_file`	`字符串`	包含用于认证的 bearer token 的文件。		no
`bearer_token`	`秘密`	用于认证的 bearer token。		no
`enable_http2`	`布尔型`	是否支持 HTTP2 用于请求。	`true`	no
`follow_redirects`	`布尔型`	是否应该跟进服务器返回的重定向。	`true`	no
`proxy_url`	`字符串`	用于发送请求的 HTTP 代理。		no
`no_proxy`	`字符串`	以逗号分隔的 IP 地址、CIDR 表示法和域名列表，用于排除代理。		no
`proxy_from_environment`	`布尔型`	使用环境变量中指示的代理 URL。	`false`	no
`proxy_connect_header`	`map(list(secret))`	指定在 CONNECT 请求期间发送到代理的头。		no

以下之一最多提供一次

bearer_token 参数.
bearer_token_file 参数.
basic_auth 块.
authorization 块.
oauth2 块.

no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy，则必须配置 proxy_url。

proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY（或它们的下划线变体）。除非被 NO_PROXY 排除，否则请求将使用与其方案匹配的环境变量中的代理。如果配置了 proxy_from_environment，则不得配置 proxy_url 和 no_proxy。

仅在配置了 proxy_url 或 proxy_from_environment 时，才应配置 proxy_connect_header。

basic_auth 块

名称	类型	描述	必需
`password_file`	`字符串`	包含基本认证密码的文件。	no
`password`	`秘密`	基本认证密码。	no
`username`	`字符串`	基本认证用户名。	no

password 和 password_file 是互斥的，在 basic_auth 块内部只能提供其中之一。

authorization 块

名称	类型	描述	必需
`credentials_file`	`字符串`	包含秘密值的文件。	no
`credentials`	`秘密`	秘密值。	no
`type`	`字符串`	授权类型，例如，“Bearer”。	no

credential 和 credentials_file 是互斥的，在 authorization 块内部只能提供其中之一。

oauth2 块

名称	类型	描述	默认值	必需
`client_id`	`字符串`	OAuth2 客户端 ID。		no
`client_secret_file`	`字符串`	包含 OAuth2 客户端秘密的文件。		no
`client_secret`	`秘密`	OAuth2 客户端秘密。		no
`endpoint_params`	`map(string)`	要附加到令牌 URL 的可选参数。		no
`proxy_url`	`字符串`	用于发送请求的 HTTP 代理。		no
`no_proxy`	`字符串`	以逗号分隔的 IP 地址、CIDR 表示法和域名列表，用于排除代理。		no
`proxy_from_environment`	`布尔型`	使用环境变量中指示的代理 URL。	`false`	no
`proxy_connect_header`	`map(list(secret))`	指定在 CONNECT 请求期间发送到代理的头。		no
`scopes`	`list(string)`	用于认证的作用域列表。		no
`token_url`	`字符串`	从中获取令牌的 URL。		no

client_secret 和 client_secret_file 是互斥的，在 oauth2 块内部只能提供其中之一。

oauth2 块还可以包含单独的 tls_config 子块。

no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy，则必须配置 proxy_url。

仅在配置了 proxy_url 或 proxy_from_environment 时，才应配置 proxy_connect_header。

tls_config 块

名称	类型	描述	必需
`ca_pem`	`字符串`	用于验证服务器的 CA PEM 编码文本。	no
`ca_file`	`字符串`	用于验证服务器的 CA 证书。	no
`cert_pem`	`字符串`	客户端认证使用的PEM编码证书文本。	no
`cert_file`	`字符串`	客户端认证使用的证书文件。	no
`insecure_skip_verify`	`布尔型`	禁用服务器证书的验证。	no
`key_file`	`字符串`	客户端认证使用的密钥文件。	no
`key_pem`	`秘密`	客户端认证使用的密钥PEM编码文本。	no
`min_version`	`字符串`	最低可接受的TLS版本。	no
`server_name`	`字符串`	指示服务器名称的ServerName扩展。	no

以下参数对互斥且不能同时设置：

ca_pem 和 ca_file
cert_pem 和 cert_file
key_pem 和 key_file

在配置客户端认证时，必须提供客户端证书（使用cert_pem或cert_file）和客户端密钥（使用key_pem或key_file）。

如果未提供min_version，最低可接受的TLS版本将从Go的默认最低版本继承，即TLS 1.2。如果提供min_version，则必须将其设置为以下字符串之一：

"TLS10" (TLS 1.0)
"TLS11" (TLS 1.1)
"TLS12" (TLS 1.2)
"TLS13" (TLS 1.3)

rule block

rule块包含对输入指标可以应用的重命名规则的定义。如果定义了多个rule块，则变换将按从上到下的顺序应用。

可以使用以下参数来配置rule。所有参数都是可选的。省略的字段将取其默认值。

名称	类型	描述	默认值	必需
`action`	`字符串`	要执行的重命名操作。	replace	no
`modulus`	`uint`	一个正整数，用于计算哈希源标签值的模数。		no
`regex`	`字符串`	一个有效的RE2表达式，支持括号捕获组。用于匹配从`source_label`和`separator`字段的组合或`labelkeep/labeldrop/labelmap`操作中提取的值。	`(.*)`	no
`replacement`	`字符串`	如果正则表达式匹配提取的值，则执行正则表达式替换的值。支持先前捕获的组。	`"$1"`	no
`separator`	`字符串`	用于连接`source_labels`中出现的值的分隔符。	;	no
`source_labels`	`list(string)`	要选择的标签值的标签列表。它们的内容使用`separator`连接，并与`regex`进行匹配。		no
`target_label`	`字符串`	将写入的标签。		no

可以使用以下操作：

drop - 删除regex与使用source_labels和separator提取的字符串匹配的指标。
dropequal - 删除匹配的source_labels不匹配target_label的目标。
hashmod - 对连接的标签进行哈希，计算其模数，并将结果写入target_label。
keep - 保留regex与使用source_labels和separator提取的字符串匹配的指标。
keepequal - 删除匹配的source_labels不匹配target_label的目标。
labeldrop - 将regex与所有标签名称匹配。任何匹配的标签都将从指标的标签集中删除。
labelkeep - 将regex与所有标签名称匹配。任何不匹配的标签都将从指标的标签集中删除。
labelmap - 将regex与所有标签名称匹配。任何匹配的标签都将根据replacement字段的内容重命名。
lowercase - 将target_label设置为连接的source_labels的小写形式。
replace - 将regex与连接的标签匹配。如果匹配，则使用replacement字段的内容替换target_label的内容。
uppercase - 将target_label设置为连接的source_labels的大写形式。

注意
可以使用$CAPTURE_GROUP_NUMBER或${CAPTURE_GROUP_NUMBER}表示法引用正则表达式捕获组。

scrape block

名称	类型	描述	默认值	必需
`default_scrape_interval`	`持续时间`	抓取目标之间的默认间隔。如果在目标资源未提供抓取间隔时使用。	`1m`	no
`default_scrape_timeout`	`持续时间`	抓取请求的默认超时时间。如果在目标资源未提供抓取超时时使用。	`10s`	no

选择器块

selector 块定义了用于服务监控器的 Kubernetes 标签选择器。

以下参数受支持

名称	类型	描述	默认值	必需
`match_labels`	`map(string)`	用于发现资源的标签键和值。	`{}`	no

当 match_labels 参数为空时，所有服务监控器资源都将匹配。

match_expression 块

match_expression 块定义了用于服务监控器发现过程的 Kubernetes 标签匹配表达式。

以下参数受支持

名称	类型	描述	必需
`键`	`字符串`	要匹配的标签名。	yes
`操作符`	`字符串`	匹配时要使用的操作符。	yes
`值`	`list(string)`	匹配时使用的值。	no

operator 参数必须是以下字符串之一

"In"
"NotIn"
"Exists"
"DoesNotExist"

如果在 selector 块内部存在多个 match_expressions 块，它们将通过 AND 子句组合在一起。

聚类块

名称	类型	描述	默认值	必需
`启用`	`布尔型`	启用与其他集群节点共享目标。	`false`	yes

当 Alloy 使用聚类，并将 enabled 设置为 true 时，该组件实例将选择加入集群，以在所有集群节点之间分配抓取负载。

聚类假设所有集群节点都使用相同的配置文件，并且选择加入使用聚类的所有 prometheus.operator.servicemonitors 组件在抓取间隔期间具有相同的配置。

所有选择加入聚类的 prometheus.operator.servicemonitors 组件实例使用目标标签和一致哈希算法来确定集群对之间每个目标的所有权。然后，每个对等方仅抓取负责的子集目标，以便负载均衡。当一个节点加入或离开集群时，每个对等方重新计算所有权并继续使用新的目标集进行抓取。这比哈希模分片性能更好，因为在所有节点上重新分配之前，只有 1/N 的目标所有权需要转移，但最终是 consistent 的（而不是像哈希模分片那样 fully consistent）。

如果 Alloy 不以集群模式运行，则该块将不做任何操作，并且 prometheus.operator.servicemonitors 将抓取其参数中接收到的每个目标。

导出字段

prometheus.operator.servicemonitors 不导出任何字段。它将所有抓取的指标转发到使用 forward_to 参数配置的接收器。

组件健康状态

当给出无效配置、Prometheus 组件初始化失败或无法正确建立与 Kubernetes API 的连接时，prometheus.operator.servicemonitors 被报告为不健康。

调试信息

prometheus.operator.servicemonitors 在组件的调试端点报告每个配置抓取作业的最近抓取状态，包括发现的标签和最近抓取时间

它还为发现的每个服务监控器暴露一些调试信息，包括在从服务监控器同步抓取配置时发现的任何错误。

调试指标

prometheus.operator.servicemonitors 不暴露任何组件特定的调试指标。

示例

此示例会发现您的集群中的所有服务监控器，并将收集的指标转发到 prometheus.remote_write 组件。

prometheus.remote_write "staging" {
  // Send metrics to a locally running Mimir.
  endpoint {
    url = "http://mimir:9009/api/v1/push"

    basic_auth {
      username = "example-user"
      password = "example-password"
    }
  }
}

prometheus.operator.servicemonitors "services" {
    forward_to = [prometheus.remote_write.staging.receiver]
}

此示例将限制发现的服务监控器为具有标签 team=ops 的特定命名空间中的服务监控器：my-app。

prometheus.operator.servicemonitors "services" {
    forward_to = [prometheus.remote_write.staging.receiver]
    namespaces = ["my-app"]
    selector {
        match_expression {
            key = "team"
            operator = "In"
            values = ["ops"]
        }
    }
}

本例将为发现的目标应用额外的标签规则以按主机名进行过滤。如果以守护进程集的形式运行Alloy，这可能很有用。

prometheus.operator.servicemonitors "services" {
    forward_to = [prometheus.remote_write.staging.receiver]
    rule {
      action = "keep"
      regex = env("HOSTNAME")
      source_labels = ["__meta_kubernetes_pod_node_name"]
    }
}