prometheus.operator.servicemonitors
prometheus.operator.servicemonitors 组件会发现 Kubernetes 集群中的 ServiceMonitor 资源并抓取它们引用的目标。此组件主要执行以下三个功能:
- 发现 Kubernetes 集群中的 ServiceMonitor 资源。
- 发现集群中与这些 ServiceMonitor 匹配的 Service 和 Endpoint。
- 从这些 Endpoint 抓取指标,并将它们转发到接收器。
默认配置假定 Alloy 在 Kubernetes 集群内运行,并使用集群内配置访问 Kubernetes API。您可以通过在 client 块中提供连接信息,在集群外部运行它,但需要网络级访问发现的 Endpoint 才能从中抓取指标。
ServiceMonitor 可以引用用于目标认证的 Secrets 来抓取它们。在这种情况下,仅当 ServiceMonitor 更新或此组件刷新其内部状态(每 5 分钟刷新一次)时,才会加载和刷新 Secret。
用法
prometheus.operator.servicemonitors "<LABEL>" {
forward_to = <RECEIVER_LIST>
}参数
您可以将以下参数用于 prometheus.operator.servicemonitors
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
forward_to | list(MetricsReceiver) | 发送抓取到的指标的接收器列表。 | 是 | |
informer_sync_timeout | duration | ServiceMonitor 资源初始同步的超时时间。 | 1m | 否 |
kubernetes_role | string | 用于发现的 Kubernetes 角色。支持 endpoints 或 endpointslice。 | endpoints | 否 |
namespaces | list(string) | 搜索 ServiceMonitor 资源的命名空间列表。如果未指定,则搜索所有命名空间。 | 否 |
块
您可以将以下块用于 prometheus.operator.servicemonitors
| 名称 | 描述 | 必需 |
|---|---|---|
client | 配置用于查找 ServiceMonitor 的 Kubernetes 客户端。 | 否 |
client > authorization | 配置对 Kubernetes API 的通用授权。 | 否 |
client > basic_auth | 配置对 Kubernetes API 的基本认证。 | 否 |
client > oauth2 | 配置 OAuth 2.0 用于对 Kubernetes API 进行认证。 | 否 |
client > oauth2 > tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | 否 |
client > tls_config | 配置连接到 Kubernetes API 的 TLS 设置。 | 否 |
clustering | 配置组件在 Alloy 集群模式下运行时使用。 | 否 |
rule | 应用于发现的目标的重新标记规则。 | 否 |
scrape | 应用于发现的目标的默认抓取配置。 | 否 |
selector | 用于发现哪些 ServiceMonitor 的标签选择器。 | 否 |
selector > match_expression | 用于发现哪些 ServiceMonitor 的标签选择器表达式。 | 否 |
> 符号表示更深的嵌套级别。例如,client > basic_auth 指的是在 client 块内部定义的 basic_auth 块。
client
client 块配置用于发现 ServiceMonitor 的 Kubernetes 客户端。如果未提供 client 块,则使用正在运行的 Alloy Pod 的服务帐户的默认集群内配置。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
api_server | string | Kubernetes API 服务器的 URL。 | 否 | |
bearer_token_file | string | 包含用于认证的 Bearer Token 的文件。 | 否 | |
bearer_token | secret | 用于认证的 Bearer Token。 | 否 | |
enable_http2 | bool | 请求是否支持 HTTP2。 | true | 否 |
follow_redirects | bool | 是否应遵循服务器返回的重定向。 | true | 否 |
http_headers | map(list(secret)) | 随每个请求发送的自定义 HTTP 头。Map 键是头名称。 | 否 | |
kubeconfig_file | string | 用于连接 Kubernetes 的 kubeconfig 文件的路径。 | 否 | |
no_proxy | string | 要从代理中排除的 IP 地址、CIDR 表示法和域名列表,以逗号分隔。 | 否 | |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头。 | 否 | |
proxy_from_environment | bool | 使用环境变量指定的代理 URL。 | false | 否 |
proxy_url | string | 用于发送请求的 HTTP 代理。 | 否 |
最多只能提供以下之一:
authorization块basic_auth块bearer_token_file参数bearer_token参数oauth2块
no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy,则必须配置 proxy_url。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或其小写形式)。请求使用与其 scheme 匹配的环境变量中的代理,除非被 NO_PROXY 排除。如果配置了 proxy_from_environment,则不得配置 proxy_url 和 no_proxy。
仅当配置了 proxy_url 或 proxy_from_environment 时,才应配置 proxy_connect_header。
authorization
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
credentials_file | string | 包含 Secret 值的文件。 | 否 | |
credentials | secret | Secret 值。 | 否 | |
type | string | 授权类型,例如,“Bearer”。 | 否 |
credential 和 credentials_file 是互斥的,在 authorization 块内只能提供一个。
basic_auth
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
password_file | string | 包含 basic auth 密码的文件。 | 否 | |
password | secret | Basic auth 密码。 | 否 | |
username | string | Basic auth 用户名。 | 否 |
password 和 password_file 是互斥的,在 basic_auth 块内只能提供一个。
oauth2
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
client_id | string | OAuth2 客户端 ID。 | 否 | |
client_secret_file | string | 包含 OAuth2 客户端 Secret 的文件。 | 否 | |
client_secret | secret | OAuth2 客户端 Secret。 | 否 | |
endpoint_params | map(string) | 要附加到 Token URL 的可选参数。 | 否 | |
proxy_url | string | 用于发送请求的 HTTP 代理。 | 否 | |
no_proxy | string | 要从代理中排除的 IP 地址、CIDR 表示法和域名列表,以逗号分隔。 | 否 | |
proxy_from_environment | bool | 使用环境变量指定的代理 URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在 CONNECT 请求期间发送给代理的头。 | 否 | |
scopes | list(string) | 用于认证的 Scope 列表。 | 否 | |
token_url | string | 获取 Token 的 URL。 | 否 |
client_secret 和 client_secret_file 是互斥的,在 oauth2 块内只能提供一个。
oauth2 块还可以包含一个单独的 tls_config 子块。
no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy,则必须配置 proxy_url。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或其小写形式)。请求使用与其 scheme 匹配的环境变量中的代理,除非被 NO_PROXY 排除。如果配置了 proxy_from_environment,则不得配置 proxy_url 和 no_proxy。
仅当配置了 proxy_url 或 proxy_from_environment 时,才应配置 proxy_connect_header。
tls_config
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
ca_pem | string | 用于验证服务器的 CA PEM 编码文本。 | 否 | |
ca_file | string | 用于验证服务器的 CA 证书。 | 否 | |
cert_pem | string | 用于客户端认证的证书 PEM 编码文本。 | 否 | |
cert_file | string | 用于客户端认证的证书文件。 | 否 | |
insecure_skip_verify | bool | 禁用服务器证书验证。 | 否 | |
key_file | string | 用于客户端认证的密钥文件。 | 否 | |
key_pem | secret | 用于客户端认证的密钥 PEM 编码文本。 | 否 | |
min_version | string | 最低可接受的 TLS 版本。 | 否 | |
server_name | string | ServerName 扩展,用于指示服务器名称。 | 否 |
以下参数对是互斥的,不能同时设置:
ca_pem和ca_filecert_pem和cert_filekey_pem和key_file
配置客户端认证时,必须同时提供客户端证书(使用 cert_pem 或 cert_file)和客户端密钥(使用 key_pem 或 key_file)。
如果未提供 min_version,则最低可接受的 TLS 版本将继承自 Go 的默认最低版本,即 TLS 1.2。如果提供了 min_version,则必须设置为以下字符串之一:
"TLS10"(TLS 1.0)"TLS11"(TLS 1.1)"TLS12"(TLS 1.2)"TLS13"(TLS 1.3)
clustering
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
enabled | bool | 启用与其他集群节点共享目标。 | false | 是 |
当 Alloy 使用集群,并且 enabled 设置为 true 时,此组件实例将选择参与集群,以在所有集群节点之间分发抓取负载。
集群假定所有集群节点都使用相同的配置文件运行,并且所有选择使用集群的 prometheus.operator.servicemonitors 组件在一个抓取间隔内具有相同的配置。
所有选择加入集群的 prometheus.operator.servicemonitors 组件实例都使用目标标签和一致性哈希算法来确定集群对等节点之间每个目标的归属。然后,每个对等节点只抓取其负责的目标子集,从而分发抓取负载。当节点加入或离开集群时,每个对等节点都会重新计算归属并继续使用新的目标集进行抓取。这比 hashmod 分片表现更好,因为 hashmod 分片中所有节点都必须重新分配,而这里只转移了目标的 1/N 的归属权,但它是最终一致的(而不是像 hashmod 分片那样完全一致)。
如果 Alloy 未在集群模式下运行,则此块不执行任何操作,prometheus.operator.servicemonitors 将抓取其参数中接收到的每个目标。
rule
rule 块包含可以应用于输入指标的任何重新标记规则的定义。如果定义了多个 rule 块,则转换按自上而下的顺序应用。
可以使用以下参数配置 rule。所有参数都是可选的。省略的字段采用其默认值。
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
action | string | 要执行的重新标记操作。 | replace | 否 |
modulus | uint | 用于计算哈希源标签值模数的正整数。 | 否 | |
regex | string | 支持带括号捕获组的有效 RE2 表达式。用于匹配从 source_label 和 separator 字段组合中提取的值,或在 labelkeep/labeldrop/labelmap 操作期间过滤标签。 | (.*) | 否 |
replacement | string | 如果正则表达式与提取的值匹配,则执行正则表达式替换所用的值。支持先前捕获的组。 | "$1" | 否 |
separator | string | 用于连接 source_labels 中存在的值的分隔符。 | ; | 否 |
source_labels | list(string) | 要选择其值的标签列表。它们的内容使用 separator 进行连接,并与 regex 进行匹配。 | 否 | |
target_label | string | 将结果值写入的标签。 | 否 |
您可以使用以下操作:
drop- 丢弃regex匹配使用source_labels和separator提取的字符串的指标。dropequal- 丢弃串联的source_labels与target_label匹配的目标。hashmod- 哈希串联的标签,计算其对modulus的模数,并将结果写入target_label。keep- 保留regex匹配使用source_labels和separator提取的字符串的指标。keepequal- 丢弃串联的source_labels与target_label不匹配的目标。labeldrop- 将regex与所有标签名匹配。任何匹配的标签都会从指标的标签集中移除。labelkeep- 将regex与所有标签名匹配。任何不匹配的标签都会从指标的标签集中移除。labelmap- 将regex与所有标签名匹配。任何匹配的标签会根据replacement字段的内容重命名。lowercase- 将target_label设置为串联的source_labels的小写形式。replace- 将regex与串联的标签匹配。如果匹配成功,则使用replacement字段的内容替换target_label的内容。uppercase- 将target_label设置为串联的source_labels的大写形式。
注意
正则表达式捕获组可以使用
$CAPTURE_GROUP_NUMBER或${CAPTURE_GROUP_NUMBER}表示法来引用。
scrape
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
default_scrape_interval | duration | 抓取目标之间的默认间隔。如果目标资源未提供抓取间隔,则使用此默认值。 | 1m | 否 |
default_scrape_timeout | duration | 抓取请求的默认超时时间。如果目标资源未提供抓取超时时间,则使用此默认值。 | 10s | 否 |
selector
selector 块描述了 ServiceMonitor 的 Kubernetes 标签选择器。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
match_labels | map(string) | 用于发现资源的标签键和值。 | {} | 否 |
当 match_labels 参数为空时,将匹配所有 ServiceMonitor 资源。
match_expression
match_expression 块描述了用于 ServiceMonitor 发现的 Kubernetes 标签匹配器表达式。
支持以下参数:
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
key | string | 要匹配的标签名称。 | 是 | |
operator | string | 匹配时使用的运算符。 | 是 | |
values | list(string) | 匹配时使用的值。 | 否 |
operator 参数必须是以下字符串之一:
"In""NotIn""Exists""DoesNotExist"
如果在 selector 块内有多个 match_expressions 块,它们将使用 AND 子句组合在一起。
导出的字段
prometheus.operator.servicemonitors 不导出任何字段。它将抓取的所有指标转发到使用 forward_to 参数配置的接收器。
组件健康状态
当配置无效、Prometheus 组件初始化失败或无法正确建立与 Kubernetes API 的连接时,prometheus.operator.servicemonitors 将报告为不健康。
调试信息
prometheus.operator.servicemonitors 在组件的调试端点上报告每个已配置抓取作业的最后一次抓取状态,包括发现的标签和最后一次抓取时间。
它还为每个发现的 ServiceMonitor 公开了一些调试信息,包括在协调 ServiceMonitor 中的抓取配置时发现的任何错误。
调试指标
prometheus.operator.servicemonitors 不公开任何特定于组件的调试指标。
示例
以下示例发现集群中的所有 ServiceMonitor,并将收集到的指标转发到 prometheus.remote_write 组件。
prometheus.remote_write "staging" {
// Send metrics to a locally running Mimir.
endpoint {
url = "http://mimir:9009/api/v1/push"
basic_auth {
username = "example-user"
password = "example-password"
}
}
}
prometheus.operator.servicemonitors "services" {
forward_to = [prometheus.remote_write.staging.receiver]
}以下示例将发现的 ServiceMonitor 限制为特定命名空间 my-app 中带有标签 team=ops 的 ServiceMonitor。
prometheus.operator.servicemonitors "services" {
forward_to = [prometheus.remote_write.staging.receiver]
namespaces = ["my-app"]
selector {
match_expression {
key = "team"
operator = "In"
values = ["ops"]
}
}
}以下示例对发现的目标应用额外的重新标记规则,以按主机名进行过滤。这在将 Alloy 作为 DaemonSet 运行时可能很有用。
prometheus.operator.servicemonitors "services" {
forward_to = [prometheus.remote_write.staging.receiver]
rule {
action = "keep"
regex = sys.env("HOSTNAME")
source_labels = ["__meta_kubernetes_pod_node_name"]
}
}兼容的组件
prometheus.operator.servicemonitors 可以接受来自以下组件的参数:
- 导出 Prometheus
MetricsReceiver的组件
注意
连接某些组件可能不合理,或者组件可能需要进一步配置才能使连接正常工作。有关更多详细信息,请参阅链接的文档。
此页面有帮助吗?
来自 Grafana Labs 的相关资源
