集群外部署 Prometheus 监控 k8s

已于 2023-01-18 12:14:13 修改
阅读量4.6k 收藏 26
点赞数 3
分类专栏: k8s 文章标签: kubernetes prometheus docker
于 2022-09-02 11:20:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry00713/article/details/126655828
版权

一、部署规划

1、一台普通的机器  192.168.18.9 
2、k8s 集群一台master节点  192.168.18.7

二、二进制部署Prometheus (192.168.18.9 )

下载并解压

cd /opt/
wget https://github.com/prometheus/prometheus/releases/download/v2.37.0/prometheus-2.37.0.linux-amd64.tar.gz
tar xvf prometheus-2.37.0.linux-amd64.tar.gz

创建软连接

ln -sv /opt/prometheus-2.37.0.linux-amd64 /opt/prometheus

配置自动启动

--web.enable-lifecycle:配置热加载

cat /etc/systemd/system/prometheus.service
[Unit]
Description=Prometheus Server
Documentation=https://prometheus.io/docs/introduction/overview/
After=network.target

[Service]
Restart=on-failure
WorkingDirectory=/opt/prometheus/
ExecStart=/opt/prometheus/prometheus --config.file=/opt/prometheus/prometheus.yml --web.enable-lifecycle

[Install]
WantedBy=multi-user.target

提权

chmod 777 /etc/systemd/system/prometheus.service

启动

systemctl daemon-reload
systemctl start prometheus
systemctl enable prometheus

查看端口,启动 9090

netstat -tunlp |grep prometheus

三、二进制部署 node_exporter (192.168.18.7)

node_exporter 是监控本机的基础设施信息状态的,node_exporter 目前支持二进制安装,和部署在k8s 中,二进制安装直接通过本地启动一个9100端口,并将基础设施信息放入127.0.0.1:9100/metrics 中,然后由Prometheus拉取。而部署在k8s 中,由 k8s 在每个运算节点上,启动node-exporters 的 pod,由此pod 去获取本地的基础设施信息放入pod_IP:9100/metrics 中,然后由Prometheus拉取。在这里我们直接给192.168.18.7部署二进制的node_exporter ,以便我们能看出效果。

安装node_exporter

cd /opt/
wget https://github.com/prometheus/node_exporter/releases/download/v1.3.1/node_exporter-1.3.1.linux-amd64.tar.gz
tar xvf node_exporter-1.3.1.linux-amd64.tar.gz 
ln -sv /opt/node_exporter-1.3.1.linux-amd64 /opt/node_exporter

启动

cd /opt/node_exporter
./node_exporter

测试访问本机的192.168.18.7:9100/metrics

 修改192.168.18.9 机器的 prometheus.yml,添加主机 192.168.18.7 端口号 9100

vim /opt/prometheus/prometheus.yml 
    static_configs:
      - targets: ["localhost:9090","192.168.18.7:9100"]

热加载192.168.18.9 机器的 prometheus 配置

curl -X POST http://10.0.0.9:9090/-/reload

浏览器访问下 prometheus  http://192.168.18.9:9090/targets

 配置一个node_exporter自动启动,提权

[root@VM-0-13-centos ~]# cat /etc/systemd/system/node-exporter.service
[Unit]
Description=Prometheus Node Exporter
After=network.target

[Service]
ExecStart=/opt/node_exporter/node_exporter

[Install]
WantedBy=multi-user.target

提权

chmod 777 /etc/systemd/system/node-exporter.service

启动

systemctl start node-exporter.service
systemctl enable node-exporter.service

三、集群外Prometheus 集群 k8s

1、创建RBAC

创建用于 Prometheus 访问 Kubernetes 资源对象的 RBAC 对象,使用serviceaccounts 、集群角色、集群角色绑定。简单理解:集群角色里面带有能访问集群中的那些资源,命名空间、pod资源等等。serviceaccounts 服务账号就是我们使用的账号。集群角色绑定就是将服务账号、集群角色进行绑定,意思是我们拿服务账号由于跟集群角色进行绑定,才有了集群角色的权限。如下cluster-admin是k8s的超级管理员的权限,为了方便本测试直接使用cluster-admin

1.创建 serviceaccounts,建议将 serviceaccounts 创建在专门收集监控信息(node-exporters、cadvisor、blackbox-exporter等这些kube-state的pod下的命名空间,具体在那个空间下,对集群外的监控影响不大),假如我的在devops
kubectl create sa  prometheus -n devops

2.创建prometheus角色并对其绑定cluster-admin
kubectl create clusterrolebinding prometheus --clusterrole cluster-admin --serviceaccount=devops:prometheus

建议使用如下,自己创建ClusterRole集群角色,因为 cluster-admin 权限太大了,不安全

vim prom.rbac.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: prometheus
  namespace: devops   #填写对应的namespace
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: prometheus
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  - services
  - endpoints
  - pods
  - nodes/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - "extensions"
  resources:
    - ingresses
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - configmaps
  - nodes/metrics
  verbs:
  - get
- nonResourceURLs:
  - /metrics
  verbs:
  - get
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: prometheus
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: prometheus
subjects:
- kind: ServiceAccount
  name: prometheus
  namespace: devops  #填写对应的namespace

kubectl apply -f prom.rbac.yaml

2、获取serviceaccounts 的token

k8s 认证授权目前只要有两种,ca认证、serviceaccounts认证,ca认证一般用于创建集群的时候,另一种就是已经可以访问集群,通过集群创建serviceaccounts认证,需要使用serviceaccounts的token

#获取上面的 Prometheus 对应的 Secret 的信息:

kubectl get sa prometheus -n devops -o yaml

kubectl describe secret prometheus-token-m8lbb -n devops

3、配置Prometheus与RBAC

实验:本地实验是使用 kubeadm 部署的v1.16.2

其中 kubeadm 有些资源直接给我们提供了metrices 接口,ok我们这次实验就要获取它

3.1、保存token文件(192.168.18.9)

mkdikr /opt/prometheus/k8s
cd /opt/prometheus/k8s
vim promethues-rbac-token.yaml

3.2、配置采集任务

[root@18_9 prometheus]# cat /opt/prometheus/prometheus.yml

alerting:
  alertmanagers:
    - static_configs:
        - targets:
scrape_configs:
  - job_name: "prometheus"
    static_configs:
      - targets: ["localhost:9090","192.168.18.7:9100"]
  - job_name: k8s-coreDns
    honor_timestamps: true
    metrics_path: /metrics
    scheme: http
    kubernetes_sd_configs:
    - api_server: https://192.168.18.7:6443
      role: pod
      bearer_token_file: k8s/promethues-rbac-token.yaml
      tls_config:
        insecure_skip_verify: true
    bearer_token_file: k8s/promethues-rbac-token.yaml
    tls_config:
      insecure_skip_verify: true
    relabel_configs:
    - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scheme]
      separator: ;
      regex: coreDns
      replacement: $1
      action: keep
    - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_path]
      separator: ;
      regex: (.+)
      target_label: __metrics_path__
      replacement: $1
      action: replace
    - source_labels: [__address__, __meta_kubernetes_pod_annotation_prometheus_io_port]
      separator: ;
      regex: ([^:]+)(?::\d+)?;(\d+)
      target_label: __address__
      replacement: $1:$2
      action: replace
    - separator: ;
      regex: __meta_kubernetes_pod_label_(.+)
      replacement: $1
      action: labelmap
    - source_labels: [__meta_kubernetes_namespace]
      separator: ;
      regex: (.*)
      target_label: kubernetes_namespace
      replacement: $1
      action: replace
    - source_labels: [__meta_kubernetes_pod_name]
      separator: ;
      regex: (.*)
      target_label: kubernetes_pod_name
      replacement: $1
      action: replace
[root@18_9 prometheus]#

讲解:

1、如果打开默认的prometheus.yaml,会发现几乎都注释,只有alerting和scrape_configs模块由内容

----------------------------------------------------------------------------------------
2、其中alerting模块针对的是报警机制
alerting:
  alertmanagers:
    - static_configs:
        - targets:

----------------------------------------------------------------------------------------
3、其中scrape_configs模块针对的是如何获取监控机制
scrape_configs:
  - job_name: "prometheus"   #其中一个job_name代表一个监控项目
    static_configs:
      - targets: ["localhost:9090","192.168.18.7:9100"]   很明显,直接看监控本机的localhost:9090,这个是自身监控,192.168.18.7:9100我们刚刚配置的监控


  - job_name: k8s-coreDns    # 其中一个job_name代表一个监控项目
    honor_timestamps: true
    metrics_path: /metrics   # 代表监控的路径
    scheme: http             # 代表监控的协议,如上的信息,代表监控http://IP/metrics
    kubernetes_sd_configs:   # 此项目重点,代表自动发现,你要知道prometheus是跟kubernetes都是google的产品,对自己产品做了支持,自动发现
    - api_server: https://192.168.18.7:6443   # 从那接入kubernetes,如果在容器中部署prometheus都不用写
      role: pod # 监控的类型是pod,这也是prometheus写好的,可以监控pod|node 等
      bearer_token_file: k8s/promethues-rbac-token.yaml  # 重点,使用的rbac
      tls_config:   # 是不是用tls协议
        insecure_skip_verify: true
    bearer_token_file: k8s/promethues-rbac-token.yaml  # 使用的rbac
    tls_config:  # 是不是用tls协议
      insecure_skip_verify: true
    relabel_configs:  # 重点如何匹配需要的pod,先看 action: keep
    - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scheme]  # 这里面说了,我要匹配pod的注释annotation,带有prometheus_io_scheme的注释
      separator: ; 
      regex: coreDns  # 而且prometheus_io_scheme=coreDns
      replacement: $1
      action: keep
    - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_path]   # 这里面说了,我要匹配pod的注释annotation,带有prometheus_io_path的注释
      separator: ;
      regex: (.+)  # 而且prometheus_io_path=$1,$1取的就是上面的metrics_path: /metrics,也就是prometheus_io_path=/metrics
      target_label: __metrics_path__  
      replacement: $1
      action: replace
    - source_labels: [__address__, __meta_kubernetes_pod_annotation_prometheus_io_port]    # 这里面说了,我要匹配pod的注释annotation,带有prometheus_io_port的注释
      separator: ;
      regex: ([^:]+)(?::\d+)?;(\d+) 
      target_label: __address__   
      replacement: $1:$2
      action: replace
    - separator: ;
      regex: __meta_kubernetes_pod_label_(.+)
      replacement: $1
      action: labelmap
    - source_labels: [__meta_kubernetes_namespace]
      separator: ;
      regex: (.*)
      target_label: kubernetes_namespace
      replacement: $1
      action: replace
    - source_labels: [__meta_kubernetes_pod_name]
      separator: ;
      regex: (.*)
      target_label: kubernetes_pod_name
      replacement: $1
      action: replace
[root@18_9 prometheus]#

总上所述,匹配的是带有

      annotations:
       "prometheus_io_path": "/metrics"
       "prometheus_io_port": "9153"
       "prometheus_io_scheme": "coreDns"

3.2、改造coreDns,增加注释,注意annotations 跟 label 同级

kubectl edit deploy coredns -n kube-system  # 注意加上" ",否则报错

kubectl get deploy coredns -n kube-system -oyaml

3.3、查看http://192.168.18.9:9090/targets

这时候发现,prometheus已经通过api接口自动发现了pod,但是是down,原因是Get "http://172.7.0.66:9153/metrics": context deadline exceeded,意思即使本机没法访问集群中的pod

 所以建议在此机器部署为node节点,或者了解 CNI 插件原理,比如我的机器192.168.18.9 
192.168.18.7 就是同网段的,所以去往172.7.0.66 172.7.0.67 的流量可以直接写route

查看http://192.168.18.9:9090/targets

Jerry00713
关注
专栏目录
Prometheus+Grafana K8S微服务监控大盘模版
10-11
使用prometheus监控k8s的微服务监控大盘模版(二进制/kubeadm通用)
prometheus监控k8s集群
邢宁
12-13 4687
前言 K8s为阿里云平台的服务,其中的监控组件已经安装,直接调用即可。自建k8s的话,需要先安装相对应的监控组件。 本次监控是从监控k8s集群的。 一、配置k8s 1、创建用于 Prometheus 访问 Kubernetes 资源对象的 RBAC 对象 #查看监控pod所在namespace kubectl get pods -A |grep kube-state vim prom.rbac.yaml apiVersion: v1 kind: ServiceAccount metadata:
Prometheus监控k8s环境构建
henanchenxuyuan的博客
09-18 2394
node-exporter + prometheus + grafana 是一套非常流行的 Kubernetes 监控方案。node-exporter:节点级指标导出工具,可以监控节点的 CPU、内存、磁盘、网络等指标,并暴露Metrics 接口。Prometheus:时间序列数据库和监控报警工具,可以抓取 Cadvisor 和 node-exporter 暴露的Metrics 接口,存储时序数据,并提供 PromQL 查询语言进行监控分析和报警。
prometheus监控k8s集群资源(pod、CPU、service、namespace、deployment等)
孤独,平庸,落魄
11-21 2951
二进制安装的prometheus监控k8s集群信息。
prometheus监控部署及常规组件
w2909526的博客
10-09 209
【代码】prometheus监控部署及常规组件。
Prometheus监控实战之Prometheus监控K8S
sre救赎之路
02-17 9475
Prometheus监控K8S
prometheus监控k8s
wuxingge的博客
06-26 2101
获取k8s token 写入 k8s-token.conf文件,prometheus连接k8s使用。注:本实验prometheus是二进制部署
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
本文将深入探讨如何利用Prometheus监控K8S主机上的SSL证书资源,并介绍一个名为`prometheus-ssl-exporter`的镜像文件,它有助于提取和暴露SSL证书的相关信息。 首先,理解SSL证书对于K8S的重要性至关重要。SSL...
k8s集群部署Prometheus监控系统
jona9595的博客
01-10 2247
k8s集群部署Prometheus监控系统简介Kubernetes OperatorPrometheus Operator通过Operator方式部署Prometheus查看Prometheus、grafana、alertmanager 简介 Prometheus目前是Kubernetes集群监控的官方推荐方案,也是目前为止最流行的解决方案。本文首先介绍Prometheus Operator组件,接着介绍基于Prometheus Operator在Kubernetes集群配置、部署服务、告警。通过本文
k8s部署prometheus的镜像
03-23
Kubernetesk8s集群部署Prometheus是一个常见的监控解决方案,Prometheus是一款强大的开源监控和警报系统,能够实时收集和分析时间序列数据。本文将详细介绍如何在k8s环境中部署Prometheus的镜像。 一、...
promethues(普罗米修斯)监控k8s集群-详细文档
06-19
Prometheus 是一个流行的开源监控系统和时间序列数据库,它被广泛用于监视各种应用程序和服务,包括 Kubernetes (k8s) 集群。本详细文档将介绍如何使用 Prometheus 监控 k8s 集群,并结合 Alertmanager 实现报警功能...
轻松搭建Prometheus监控k8s服务之镜像2023年最新
03-26
为了在k8s集群部署Prometheus监控,你需要遵循以下步骤: 1. **部署Node Exporter**:在每个k8s节点上运行Node Exporter,以便Prometheus可以收集节点级别的指标。 2. **配置Prometheus Operator**:使用`...
Prometheus+Grafana()监控Kubernetes(K8s)集群(基于containerd)
Wielun
06-04 4263
通过kube-state-metrics监控Kubernetes(K8s)集群(基于containerd)
Prometheus集群监控k8s
qq_36006156的博客
03-29 803
prometheus集群监控K8S
prometheus普罗米修斯集监控k8s
你是我一生的追求
07-03 1624
prometheus普罗米修斯集监控k8s
2021-07-19 为prometheus添加k8s集群监控
北冥鱼
07-19 432
@[TOC] prometheus添加k8s集群监控 使用场景 生产环境中Harbor部署k8s集群,开启Harbor-export 使用k8s集群中的prometheus监控。 补充一下harbor的安装 说一下坑点: 设置中无法切换LDAP ,How to change auth mode when the auth_mode is not editable?; docker exec -it harbor-db bash psql -U postgres \c registry sele
集群Prometheus 监控Kubernetes 集群
weixin_43539320的博客
05-21 1339
很多都是通过在k8s集群内部安装prometheus来进行k8s集群监控,但是在企业的云原生过程中,往往会出现多种类型(容器化与非容器化)的服务并存的情况,一般会将prometheus部署k8s集群部,但是最终还是希望可以将prometheus部署k8s集群内,这样不仅可以充分运用服务器的资源,还避免授权相关的问题。但是还是会有大量的使用prometheus监控部的k8s集群的需求。
prometheus监控_Prometheus 监控Kubernetes 集群
weixin_39616056的博客
12-06 2029
前面我们的文章中都是将 Prometheus 安装在 Kubernetes 集群中来采集数据,但是在实际环境中很多企业是将 Prometheus 单独部署集群部的,甚至直接监控多个 Kubernetes 集群,虽然不推荐这样去做,因为 Prometheus 采集的数据量太大,或大量消耗资源,比较推荐的做法是用不同的 Prometheus 实例监控不同的集群,然后用联邦的方式进行汇总。...
独立部署Prometheus+Grafana+Alertmanager监控K8S
听海归雪的博客
12-06 7655
集群独立Prometheus+Grafana+Alertmanager服务监控k8s资源
prometheus监控k8s
最新发布
09-23
Prometheus监控KubernetesK8s)主要是指不在Kubernetes集群内部部署Prometheus服务,而是将其作为一个独立的服务运行在集群部。这种方式通常有以下几个步骤: 1. **安装Prometheus**:首先需要在部服务器上安装Prometheus及其所需组件,如Thanos(用于存储时间和空间的数据持久化),Pushgateway(用于收集节点上静态指标)。 2. **配置Prometheus**: 配置Prometheus去查询K8s API Server获取集群内的信息,通常通过`kube-prometheus-stack`等Helm chart或自定义ServiceMonitor资源来实现。你需要提供Prometheus所需的认证信息以便访问API。 3. **设置ServiceMonitor**:这是连接PrometheusK8s的关键,它定义了Prometheus应该如何发现并拉取容器、节点和服务的指标。通过创建或更新ServiceMonitors资源,你可以指定Prometheus应该监控哪些Pod和服务。 4. **代理指标**:如果你的Pod没有直接暴露metrics端点,可以使用Sidecar代理(如 Thanos-Ruler 或 Node Exporter)将内部指标推送到Pushgateway。 5. **数据可视化**:将收集到的数据发送到Prometheus的数据存储系统,如Grafana,创建仪表板展示K8s的各种监控指标。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值