kube-prometheus添加身份认证

已于 2024-02-29 15:39:42 修改
阅读量522 收藏 8
点赞数 9
分类专栏: prometheus 文章标签: prometheus 服务器 linux
于 2024-02-28 18:03:39 首次发布
appleFile
本文链接:https://blog.csdn.net/weixin_41647372/article/details/136352656
版权
修改promethues-prometheus.yaml部署文件 
apiVersion: monitoring.coreos.com/v1
kind: Prometheus
metadata:
  labels:
    app.kubernetes.io/component: prometheus
    app.kubernetes.io/instance: k8s
    app.kubernetes.io/name: prometheus
    app.kubernetes.io/part-of: kube-prometheus
    app.kubernetes.io/version: 2.48.0
  name: k8s
  namespace: monitoring
spec:
  alerting:
    alertmanagers:
    - apiVersion: v2
      name: alertmanager-main
      namespace: monitoring
      port: web
  containers:
     - name: prometheus
       image: quay.io/prometheus/prometheus:v2.48.0
       args:
         - "--web.config.file=/etc/prometheus/web_config.yaml"
         - "--config.file=/etc/prometheus/config_out/prometheus.env.yaml"
         - "--web.enable-lifecycle"
       volumeMounts:
         - name: config-volume
           mountPath: /etc/prometheus/prometheus.yml
           subPath: prometheus.yml
           readOnly: true
         - name: web-config-map
           mountPath: /etc/prometheus/web_config.yaml
           subPath: web_config.yaml
           readOnly: true
       livenessProbe:
         httpGet:
           path: /-/healthy
           port: web
           scheme: HTTP
           httpHeaders:
             - name: Authorization
               value: Basic YWRtaW46YWRtaW4=
       readinessProbe:
         httpGet:
           path: /-/ready
           port: web
           scheme: HTTP
           httpHeaders:
             - name: Authorization
               value: Basic YWRtaW46YWRtaW4=
       startupProbe:
         httpGet:
           path: /-/ready
           port: web
           scheme: HTTP
           httpHeaders:
             - name: Authorization
               value: Basic YWRtaW46YWRtaW4= # 账号:密码 base64加密后的字符串
  enableFeatures: []
  externalLabels: {}
  nodeSelector:
    kubernetes.io/os: linux
  podMetadata:
    labels:
      app.kubernetes.io/component: prometheus
      app.kubernetes.io/instance: k8s
      app.kubernetes.io/name: prometheus
      app.kubernetes.io/part-of: kube-prometheus
      app.kubernetes.io/version: 2.48.0
  podMonitorNamespaceSelector: {}
  podMonitorSelector: {}
  probeNamespaceSelector: {}
  probeSelector: {}
  replicas: 2
  resources:
    requests:
      memory: 400Mi
  ruleNamespaceSelector: {}
  ruleSelector: {}
  scrapeConfigNamespaceSelector: {}
  scrapeConfigSelector: {}
  securityContext:
    fsGroup: 2000
    runAsNonRoot: true
    runAsUser: 1000
  serviceAccountName: prometheus-k8s
  serviceMonitorNamespaceSelector: {}
  serviceMonitorSelector: {}
  version: 2.48.0
  volumes:
    - name: config-volume
      configMap:
        name: prometheus-config # 挂载prometheus的配置文件
    - name: web-config-map
      configMap:
         name: web-config-map # 挂载身份密钥

新增configMap身份验证文件

apiVersion: v1
kind: ConfigMap
metadata:
  name: web-config-map
  namespace: monitoring
data:
  web_config.yaml: |
    basic_auth_users:
        "admin": "$2b$12$S5yuS3NL31zaKpCEoXiBXeAoBmduJgHUqiSu3c6QXxSfXGva1BdR6" # hash加密后的字符串,具体可看链接的password.py文件生成

新增promethues-config的configMap文件

apiVersion: v1
kind: ConfigMap
metadata:
  name: prometheus-config
  namespace: monitoring
data:
  prometheus.yml: >
    global:
      scrape_interval:     15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
      evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.

    # Alertmanager configuration

    alerting:
      alertmanagers:
        - static_configs:
            - targets:
              # - alertmanager:9093

    # Load rules once and periodically evaluate them according to the global

    rule_files:

    # - "first_rules.yml"

    # - "second_rules.yml"


    # A scrape configuration containing exactly one endpoint to scrape:

    # Here it's Prometheus itself.

    scrape_configs:
      # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
      - job_name: 'prometheus'

        # metrics_path defaults to '/metrics'
        # scheme defaults to 'http'.

        static_configs:
          - targets: ['localhost:9090']

完成后部署文件,即可看到promethues需要校验的弹框

由于promethues采用了prometheus-config-reloader来热更新配置文件,会出现401未认证的问题,并导致pod会出现OOM错误,重启pod

所以我们需要修改prometheus-promethues.yaml文件,覆盖prometheus-operator生成的默认配置

 在promethues-prometheus.yaml中新增container:

- name: prometheus-config-reloader
       image: quay.io/prometheus-operator/prometheus-config-reloader:v0.69.1
       args:
         - '--listen-address=:8080'
         - '--reload-url=http://admin:admin@localhost:9090/-/reload'
         - '--config-file=/etc/prometheus/config/prometheus.yaml.gz'
         - '--config-envsubst-file=/etc/prometheus/config_out/prometheus.env.yaml'
       ports:
         - name: reloader-web
           containerPort: 8080
           protocol: TCP
       env:
         - name: POD_NAME
           valueFrom:
             fieldRef:
               apiVersion: v1
               fieldPath: metadata.name
         - name: SHARD
           value: '0'
       resources:
         limits:
           cpu: 100m
           memory: 50Mi
         requests:
           cpu: 100m
           memory: 50Mi
       volumeMounts:
         - name: config
           mountPath: /etc/prometheus/config
         - name: config-out
           mountPath: /etc/prometheus/config_out
         - name: prometheus-k8s-rulefiles-0
           mountPath: /etc/prometheus/rules/prometheus-k8s-rulefiles-0

重新部署

这里需要只能有3个pod,如果多了说明上面配置的name是不一样的,需要更改为一样的name

最后查看pod日志,不会出现401错误即可
本测试基于最新版本演示,具体代码可看GitHub - tjl-with-code/kube-prometheus: Use Prometheus to monitor Kubernetes and applications running on Kubernetes的main-auth分支!!

Apple File
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
prometheus怎么增加身份认证
m0_37680131的博客
08-04 1314
前言:prometheus默认是没有用户密码登录认证的,对于部分环境可能会存在受攻击风险,那么怎么实现用户密码的身份验证呢?执行docker-compose up -d启动prometheus。修改prometheus的docker-compose配置文件。登录prometheus验证,已经成功添加密码认证了。vim新建文件basic_auth.yaml。3、增加密码认证的启动配置。2、增加身份认证配置文件。1、对密码进行哈希处理。执行脚本,生成加密密码。微信公众号:运维之美。
Prometheus配置认证
最新发布
Asuicao的博客
03-13 734
升级后prometheus-server服务起不来,原因:健康检查配的url检查,报。使用Base64编码转换对应的账号密码。使用Base64编码加密后。
Prometheus配置Basic Auth进行安全防护,实现登录控制
华为云官方博客
01-15 1101
在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。
Prometheus 登录用户认证
极致,细节
01-19 1335
prometheus默认是没有用户密码登录认证的,对于部分环境可能会存在受攻击风险,以下实现安全用户密码登录。
prometheus-operator项目给prometheus页面添加鉴权
因上努力,果上随缘。但行好事,莫问前程。
08-16 1048
就绪探针和存活探针一定要加认证,否则容器运行异常。PS:有个别镜像pull不到,更换镜像地址即可。
kube-prometheus-release-0.12部署yaml文件
11-10
Kubernetes(K8S)1.24,1.25版本部署Prometheus+Grafana监控K8S集群所需的yaml部署文件
kube-prometheus
05-06
kube-prometheus概述很多地方提到Prometheus Operatorkubernetes集群监控的终极解决方案,但是目前Prometheus Operator已经不包含完整功能,完整的解决方案已经变为kube-prometheus。项目地址为:本项目基于最新...
kube-prometheus-release0.4.zip 离线包
06-09
内涵多个关联包,prometheus-operatorprometheus-config-reloader,prometheus.,node-exporter,kube-state-metrics,kube-rbac-proxy,kube-prometheus,k8s-prometheus-adapter-amd64,heapster-amd64,grafana...
kube-prometheus-0.8.0.tar.gz
03-01
prometheus-operator0.8版本
基于kube-prometheus-stack部署监控K8S告警系统资源合集
11-08
原文链接:https://blog.csdn.net/m0_37814112/article/details/134136493
Prometheus 安全配置详解
悦分享
01-12 119
我们这里说的安全主要是基本认证和https2种, 目前这2种安全在prometheus中都没有的, 需要借助第三方软件实现, 这里以nginx为例。
【云原生 Prometheus篇】Prometheus的动态服务发现机制与认证配置
这是博客的简介的简介
11-23 1939
自动发现;
prometheus、alertmanager、pushgateway使用basic_auth增加密码
weixin_45031193的博客
04-22 2220
config.yaml文件内容。config.yaml文件内容。config.yaml文件内容。
总结:K8S指标与Prometheus实现
w2009211777的专栏
07-27 676
K8S指标与prometheus实现梳理
Prometheus入门
java的平凡之路
03-15 4139
一、什么是TSDB?TSDB(Time Series Database)时序列数据库,我们可以简单的理解为一个优化后用来处理时间序列数据的软件,并且数据中的数组是由时间进行索引的。1、时间序列数据库的特点大部分时间都是写入操作。写入操作几乎是顺序添加,大多数时候数据到达后都以时间排序。写操作很少写入很久之前的数据,也很少更新数据。大多数情况在数据被采集到数秒或者数分钟后就会被写入数据库。删除操作一...
Prometheus使用Basic认证保护Prometheus API和UI端点
云原生之家
12-17 3345
完整译文请访问:http://www.coderdocument.com/docs/prometheus/v2.14/guides/securing_prometheus_api_and_ui_endpoints_using_basic_auth.html。 Prometheus不直接支持连接到Prometheus表达式浏览器和HTTP API的Basic认证。如果你希望对这些连接执行Basic...
解决prometheus部署在公网IP上的安全认证问题
zhuchunyan_aijia的博客
06-17 1130
认证就是在登陆的时候提示输入账号密码。在这里我们是通过nginx上的HTTP Basic Auth来实现。 1、部署nginx yum install -y nginx 2、安装apache-htpasswd工具 yum -y install httpd-tools 3、创建账号密码 cd /etc/nginx htpasswd -c ht.passwd prometheus ht.passwd : 文件名 prometheus: 帐号名 输入密码 4、在nginx.conf里面编辑反向代理
Prometheus 不完全避坑指南
Docker的专栏
02-23 2895
Prometheus 是一个开源监控系统,它本身已经成为了云原生中指标监控的事实标准,几乎所有 Kubernetes 的核心组件以及其它云原生系统都以 Prometheu...
(三)解决prometheus部署在公网IP上的安全认证问题
weixin_48226988的博客
10-13 3963
prometheus相比于zabbix在网站登录的时候没有账密认证,就导致访问ip端口的时候会把自身监控的信息全部暴露出去。因此prometheus的部署建议是不要部署在公网上,另外就是开启认证了。所谓的认证就是在登陆的时候提示输入账号密码。在这里我们是通过nginx上的HTTP Basic Auth来实现。 1、部署nginx,忽略。 2、安装apache-htpasswd工具 ~:yum -y install httpd-tools 3、创建账号密码 ~:cd /usr/local/nginx/con
kube-prometheus做身份验证
03-01
kube-prometheus是一个用于监控Kubernetes集群的开源项目,它基于Prometheus和Grafana构建。它提供了一套完整的监控解决方案,包括集群状态、节点状态、Pod状态、容器状态等。 关于身份验证,kube-prometheus本身并不提供身份验证功能,它主要关注于监控和告警。在Kubernetes集群中,身份验证通常由Kubernetes本身处理。Kubernetes提供了多种身份验证方式,包括基于Token的身份验证、基于证书的身份验证、基于用户名和密码的身份验证等。 如果你想在使用kube-prometheus时进行身份验证,你可以使用Kubernetes提供的身份验证机制来保护kube-prometheus的访问。你可以使用Kubernetes的RBAC(Role-Based Access Control)来定义访问kube-prometheus的权限,并为用户或服务账号分配相应的角色和权限。 具体来说,你可以创建一个ServiceAccount,并为该ServiceAccount创建一个具有适当权限的ClusterRole或Role。然后,你可以使用该ServiceAccount的Token或证书来进行身份验证,并将其配置到kube-prometheus相关的组件中,以确保只有具有适当权限的用户或服务可以访问kube-prometheus。 需要注意的是,具体的身份验证配置可能会因为你使用的Kubernetes发行版或者集群环境而有所不同。因此,在实际操作中,你可能需要参考相关的文档或者咨询Kubernetes社区的支持来进行具体的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值