为 Prometheus Node Exporter 加上认证

最新推荐文章于 2024-04-02 16:28:44 发布
最新推荐文章于 2024-04-02 16:28:44 发布
阅读量6.1k 收藏 17
点赞数 3
分类专栏: Prometheus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31977125/article/details/108528488
版权

背景介绍

Node Exporter v1.0.0之前的版本不支持TLS和认证,所以默认情况下是通过http暴露的/metrics,默认没有任何访问限制。对于有些环境硬性要求不允许使用http提供访问,和对安全性要求较高必须有认证的情况下,原来只能通过额外增加一层反向代理(如nginx)来解决。但给每个node_export配1个nginx,这显然这太复杂太重了。
从 v1.0.0版本开始实验性的支持https和基本认证。 从 Node Exporter 开始到后续其他的组件,都将支持 TLS 和 basic auth, 同时也列出了最新的安全基准(默认情况下都支持 TLS v1.2 及以上)。下面让我们来看看具体配置。

生成证书

openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout node_exporter.key -out node_exporter.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=test.cn/CN=localhost"

命令执行完生成两个文件

node_exporter.crt node_exporter.key

配置Node Exporter 开启 TLS

下载node_exporter最新版

解压,并将node_exporternode_exporter.crt node_exporter.key 放在同一个目录
编写配置文件,并保存为 config.yaml(文件名自定义)

tls_server_config:
  cert_file: node_exporter.crt
  key_file: node_exporter.key

使用配置文件启动启动node_exporter

./node_exporter --web.config=config.yaml

当你看到如下日志,说明TLS已生效

level=info ts=2020-09-11T01:42:42.079Z caller=node_exporter.go:191 msg="Listening on" address=:9100
level=info ts=2020-09-11T01:42:42.079Z caller=tls_config.go:200 msg="TLS is enabled and it cannot be disabled on the fly." http2=true

验证:

 # curl localhost:9100/metrics
Client sent an HTTP request to an HTTPS server.

 # curl https://localhost:9100/metrics  
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

#### 使用-k跳过证书验证就可以获得metrics了
curl  -k https://localhost:9100/metrics

Prometheus 配置

增加如下配置后,在Prometheus UI中应该就能看到target了

  - job_name: 'node_exporter'
    scheme: https
    tls_config:
      ca_file: node_exporter.crt
    static_configs:
    - targets: ['localhost:9100']

在这里插入图片描述

添加 Basic Auth

生成密码,如果没有htpasswd命令请自行安装

这里我只用它来生成了密码 hash , 没有传递用户名。
# htpasswd -nBC 12 '' | tr -d ':\n'

修改node_exporter的配置文件config.yaml

tls_server_config:
  cert_file: node_exporter.crt
  key_file: node_exporter.key
basic_auth_users:
  # 当前设置的用户名为 prometheus , 可以设置多个
  prometheus: $2y$12$WLw2sYa.NY0NhTn0EvpefLHeuG.l7TAH9Wzd9HlK1H8ZuDo9EAGKK0i

使用配置文件启动启动node_exporter

./node_exporter --web.config=config.yaml

验证,将提示401

 # curl  -Ik https://localhost:9100/metrics
HTTP/1.1 401 Unauthorized
Content-Type: text/plain; charset=utf-8
Www-Authenticate: Basic
X-Content-Type-Options: nosniff
Date: Fri, 11 Sep 2020 02:22:13 GMT
Content-Length: 13
修改Prometheus 配置
  - job_name: 'node_exporter'
    scheme: https
    tls_config:
      ca_file: node_exporter.crt
    basic_auth:
      username: prometheus
      password: prometheuspassword  
    static_configs:
    - targets: ['localhost:9100']

修改后重新加载配置文件,再到Prometheus UI中查看target状态是否正常

# curl -X POST http://localhost:9090/-/reload  
或者
# killall -HUP prometheus
Chai Yingchao
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
K8S主机Prometheus监控node-exporter资源清单及镜像文件
12-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537 说明:上述资源包括部署清单文件、镜像文件、告警规则文件
prometheus 密码认证之base认证
拒绝熬夜啊的博客
03-02 538
prometheus 密码认证之base认证
Prometheus Node_exporter增加认证
最新发布
04-02 102
因安全需要,现在对 node_exporter 进行配置以支持 TLS 和 Basic Auth,顺便把 Prometheus 升级到最新版 2.40.4。这个 ansible roles 里包含了 Node_exporter 二进制文件,以后重启 Node_exporter,需要使用 systemd。文件复制到 Node_exporter 解压目录下。,config.yaml ,systemd 文件。在 Node_exporter 目录下执行。下载最新版解压,并将前面生成的。文件复制到该目录下。
prometheusnode_exporter、pushgateway插件
06-21
prometheusnode_exporter、pushgateway插件
prometheus,node_exporter,alertmanager
06-30
prometheus-2.4.2.linux-amd64.tar.gz,node_exporter-0.16.0.linux-amd64.tar.gz,alertmanager-0.21.0-rc.0.darwin-386.tar.gz
Prometheus+Grafana+node_exporter安装包
04-14
参考文章:https://blog.csdn.net/m0_51197424/article/details/124161669 使用这三个安装包,配合这个博客,搭建多台服务器的监控平台
node_exporter部署之认证(启用 TLS)
weixin_42562106的博客
05-28 1959
cat<<END>install.sh #!/bin/bash groupadd -r prometheus useradd -r -g prometheus -s /sbin/nologin -M -c "prometheus Daemons" prometheus wget http://81.127.0.0.:8888/1/node_exporter -P /usr/local/bin/node_exporter chmod +x /usr/local/bin/node_export
prometheus-operator项目给prometheus页面添加鉴权
因上努力,果上随缘。但行好事,莫问前程。
08-16 985
就绪探针和存活探针一定要加认证,否则容器运行异常。PS:有个别镜像pull不到,更换镜像地址即可。
proemtheus TSL加密认证
Pichairen
06-28 1020
参考:二、Prometheus TLS加密认证和基于 basic_auth 用户名密码访问_李在奋斗的博客-CSDN博客_prometheus 密码上次写了一个通过nginx反向代理实现PrometheusCSDNhttps://mp.csdn.net/mp_blog/creation/success/125493332下面总结一下,Prometheus自带的安全认证方式:1、安装密码工具 yum -y install httpd-tools2、生成密码:htpasswd -nBC 12 '' | tr -
ansible-role-install-prometheus-node-exporter:在受支持的主机上安装Prometheus Node Exporter
02-14
安装prometheus节点出口商 在支持的主机上安装Prometheus Node Exporter。 执行的步骤是: 查找可用的最新Prometheus Node Exporter版本(或指定的版本) 检查最新版本的Prometheus Node Exporter 指定版本的Prometheus Node Exporter的SHA256校验和的下载列表” 下载指定版本的Prometheus Node Exporter” 为Prometheus Node Exporter创建一个专用的系统用户(如果尚不存在) 从{{install_prometheus_node_exporter.name}}中提取“ node_exporter”” 为Prometheus Node Exporter设置系统服务文件” 强制系统重新读取服务的配置文件” 为Prometheus Nod
node-exporter + prometheus + grafana 安装包
11-22
node_exporter + prometheus + grafana 安装包。
forever不重启 node_运维监控Prometheus,部署安全的node_exporter监控主机
weixin_39603613的博客
12-06 310
简介prometheus监控系统的时候,是使用pull的方式来获取监控数据,需要被监控端监听对应的端口,prometheus从这些端口服务中拉取对应的数据。node_exporter安全性讨论node_exporter是收集操作系统的指标的一个程序。例如CPU,内存,磁盘和网络等信息。之前版本的node_exporter没有提供验证的功能,直接访问就可以获取到对应的监控指标。这样子存在一定的安全风...
Node Exporter 简介
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
01-25 2万+
监控节点 Prometheus使用exporter工具来暴露主机和应用程序上的指标,目前有很多可用于各种目的的exporter[1]。现在我们将专注于一个特定的exporterNode Exporter[2]。 它是用Go语言编写的,提供了一个可用于收集各种主机指标数据(包括CPU、内存和磁盘)的库。它还有一个textfile收集器,允许你导出静态指标,我们很快就会看到这对发送有关节点的信息很有帮助,此外它还可以从批处理作业导出指标。 我们有时会使用术语“节点”来指代主机。 首先选择其中一
Prometheusnode_exporter配置为服务并开机启动
云原生,DevOps,Kubernetes
03-30 9244
配置用systemctl 启动的服务都是这个思路 下载node_exporter将二进制文件放置到/usr/local/bin目录(当然目录可以自定义) 创建Prometheus组和用户,用于运行node_exporter 创建一个.service文件 启动,并配置开机启动 1 下载node_exporter curl -O https://github.com/prometheus/no...
Prometheus使用mtail监控日志错误
云原生,DevOps,Kubernetes
07-28 4173
mtail项目地址 mtail :它是一个google开发的日志提取工具,从应用程序日志中提取指标以导出到时间序列数据库或时间序列计算器 用途就是: 实时读取应用程序的日志、 再通过自己编写的脚本进行分析、 最终生成时间序列指标 下载地址 https://github.com/google/mtail/releases 安装 下载二进制文件改名为mtail 给执行权限chmod +x mtail 将其移到/usr/local/bin/目录下 使用 1. 定义配置文件 如error_count.mtail(更
Prometheus 监控windows 主机和服务
云原生,DevOps,Kubernetes
05-11 3625
下载exporter: https://github.com/martinlindhe/wmi_exporter 在windows服务执行: .\wmi_exporter-0.11.1-amd64.exe --collector.service.services-where="Name LIKE 'MySql%' or Name='RemoteRegistry'" 可以将其注册成服务随windows系统启动自动启动 官网上有个例子使用msi文件安装成服务,并设置扩展参数。但是在我的服务器上执行不成功(使用
Prometheus node_exporter无法访问浏览器
05-26
如果您无法通过浏览器访问Prometheus node_exporter,则可能有以下原因: 1. 防火墙阻止访问:检查您的防火墙设置是否允许访问Prometheus node_exporter端口,默认情况下,Prometheus node_exporter监听的端口为9100。 2. 端口冲突:检查是否有其他进程正在占用9100端口。可以使用命令"lsof -i:9100"来查看是否有进程占用了该端口。 3. 配置错误:检查Prometheus node_exporter的配置文件是否正确配置了监听端口和网络接口。 如果以上方法都无法解决问题,您可以尝试在命令行中启动Prometheus node_exporter,并查看是否有任何错误消息输出。例如,在Linux系统中,可以使用以下命令启动Prometheus node_exporter: ./node_exporter --web.listen-address=:9100 如果启动成功,则可以通过浏览器访问"http://localhost:9100/metrics"来查看Prometheus node_exporter的指标数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值