Hallo alle. Im Mai startet OTUS , sowohl Infrastruktur als auch Anwendungen mit Zabbix, Prometheus, Grafana und ELK. In diesem Zusammenhang teilen wir traditionell nützliches Material zu diesem Thema.
Mit Prometheus können Sie externe Dienste über HTTP, HTTPS, DNS, TCP und ICMP überwachen. In diesem Artikel zeige ich Ihnen, wie Sie die HTTP/HTTPS-Überwachung mit dem Blackbox-Exporter einrichten. Wir werden den Blackbox-Exporter in Kubernetes ausführen.
Umgebung
Wir benötigen Folgendes:
- Kubernetes
- Prometheus-Operator
Konfiguration des Blackbox-Exporters
Blackbox konfigurieren über ConfigMap für Einstellungen http Modul zur Überwachung von Webdiensten.
apiVersion: v1
kind: ConfigMap
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
data:
blackbox.yaml: |
modules:
http_2xx:
http:
no_follow_redirects: false
preferred_ip_protocol: ip4
valid_http_versions:
- HTTP/1.1
- HTTP/2
valid_status_codes: []
prober: http
timeout: 5sModul http_2xx wird verwendet, um zu überprüfen, ob der Webdienst einen 2xx-HTTP-Statuscode zurückgibt. Die Konfiguration des Blackbox-Exporters wird ausführlicher beschrieben in .
Stellen Sie den Blackbox-Exporter im Kubernetes-Cluster bereit
Beschreiben Deployment и Service für die Bereitstellung in Kubernetes.
---
kind: Service
apiVersion: v1
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
spec:
type: ClusterIP
ports:
- name: http
port: 9115
protocol: TCP
selector:
app: prometheus-blackbox-exporter
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
spec:
replicas: 1
selector:
matchLabels:
app: prometheus-blackbox-exporter
template:
metadata:
labels:
app: prometheus-blackbox-exporter
spec:
restartPolicy: Always
containers:
- name: blackbox-exporter
image: "prom/blackbox-exporter:v0.15.1"
imagePullPolicy: IfNotPresent
securityContext:
readOnlyRootFilesystem: true
runAsNonRoot: true
runAsUser: 1000
args:
- "--config.file=/config/blackbox.yaml"
resources:
{}
ports:
- containerPort: 9115
name: http
livenessProbe:
httpGet:
path: /health
port: http
readinessProbe:
httpGet:
path: /health
port: http
volumeMounts:
- mountPath: /config
name: config
- name: configmap-reload
image: "jimmidyson/configmap-reload:v0.2.2"
imagePullPolicy: "IfNotPresent"
securityContext:
runAsNonRoot: true
runAsUser: 65534
args:
- --volume-dir=/etc/config
- --webhook-url=http://localhost:9115/-/reload
resources:
{}
volumeMounts:
- mountPath: /etc/config
name: config
readOnly: true
volumes:
- name: config
configMap:
name: prometheus-blackbox-exporterDer Blackbox-Exporter kann mit dem folgenden Befehl bereitgestellt werden. Namensraum monitoring bezieht sich auf den Prometheus-Operator.
kubectl --namespace=monitoring apply -f blackbox-exporter.yamlÜberprüfen Sie mit dem folgenden Befehl, ob alle Dienste ausgeführt werden:
kubectl --namespace=monitoring get all --selector=app=prometheus-blackbox-exporterBlackbox-Check
Sie können auf die Blackbox Exporter-Weboberfläche zugreifen mit port-forward:
kubectl --namespace=monitoring port-forward svc/prometheus-blackbox-exporter 9115:9115Stellen Sie über einen Webbrowser eine Verbindung zur Blackbox Exporter-Weboberfläche her unter : 9115.
Wenn du nach ... gehst , sehen Sie das Ergebnis der Überprüfung der angegebenen URL ().
Metrischer Wert probe_success gleich 1 bedeutet erfolgreiche Prüfung. Ein Wert von 0 weist auf einen Fehler hin.
Prometheus einrichten
Nachdem Sie den BlackBox-Exporter bereitgestellt haben, richten Sie Prometheus ein prometheus-additional.yaml.
- job_name: 'kube-api-blackbox'
scrape_interval: 1w
metrics_path: /probe
params:
module: [http_2xx]
static_configs:
- targets:
- https://www.google.com
- http://www.example.com
- https://prometheus.io
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: prometheus-blackbox-exporter:9115 # The blackbox exporter.Wir generieren Secretmit dem folgenden Befehl.
PROMETHEUS_ADD_CONFIG=$(cat prometheus-additional.yaml | base64)
cat << EOF | kubectl --namespace=monitoring apply -f -
apiVersion: v1
kind: Secret
metadata:
name: additional-scrape-configs
type: Opaque
data:
prometheus-additional.yaml: $PROMETHEUS_ADD_CONFIG
EOFAngeben additional-scrape-configs für Prometheus-Operator mit additionalScrapeConfigs.
kubectl --namespace=monitoring edit prometheuses k8s
...
spec:
additionalScrapeConfigs:
key: prometheus-additional.yaml
name: additional-scrape-configsWir gehen zur Prometheus-Weboberfläche und überprüfen die Kennzahlen und Ziele.
kubectl --namespace=monitoring port-forward svc/prometheus-k8s 9090:9090
Wir sehen die Kennzahlen und Ziele von Blackbox.
Regeln für Benachrichtigungen hinzufügen (Alert)
Um Benachrichtigungen vom Blackbox-Exporter zu erhalten, fügen wir dem Prometheus-Operator Regeln hinzu.
kubectl --namespace=monitoring edit prometheusrules prometheus-k8s-rules
...
- name: blackbox-exporter
rules:
- alert: ProbeFailed
expr: probe_success == 0
for: 5m
labels:
severity: error
annotations:
summary: "Probe failed (instance {{ $labels.instance }})"
description: "Probe failedn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SlowProbe
expr: avg_over_time(probe_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "Slow probe (instance {{ $labels.instance }})"
description: "Blackbox probe took more than 1s to completen VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: HttpStatusCode
expr: probe_http_status_code <= 199 OR probe_http_status_code >= 400
for: 5m
labels:
severity: error
annotations:
summary: "HTTP Status Code (instance {{ $labels.instance }})"
description: "HTTP status code is not 200-399n VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SslCertificateWillExpireSoon
expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 30
for: 5m
labels:
severity: warning
annotations:
summary: "SSL certificate will expire soon (instance {{ $labels.instance }})"
description: "SSL certificate expires in 30 daysn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SslCertificateHasExpired
expr: probe_ssl_earliest_cert_expiry - time() <= 0
for: 5m
labels:
severity: error
annotations:
summary: "SSL certificate has expired (instance {{ $labels.instance }})"
description: "SSL certificate has expired alreadyn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: HttpSlowRequests
expr: avg_over_time(probe_http_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "HTTP slow requests (instance {{ $labels.instance }})"
description: "HTTP request took more than 1sn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SlowPing
expr: avg_over_time(probe_icmp_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "Slow ping (instance {{ $labels.instance }})"
description: "Blackbox ping took more than 1sn VALUE = {{ $value }}n LABELS: {{ $labels }}"Gehen Sie in der Prometheus-Weboberfläche zu Status => Regeln und suchen Sie die Alarmregeln für den Blackbox-Exporter.
Konfigurieren von Benachrichtigungen über den Ablauf von SSL-Zertifikaten des Kubernetes-API-Servers
Lassen Sie uns die Ablaufüberwachung des Kubernetes API Server-SSL-Zertifikats konfigurieren. Es werden einmal pro Woche Benachrichtigungen gesendet.
Hinzufügen des Blackbox-Exportmoduls für die Kubernetes-API-Serverauthentifizierung.
kubectl --namespace=monitoring edit configmap prometheus-blackbox-exporter
...
kube-api:
http:
method: GET
no_follow_redirects: false
preferred_ip_protocol: ip4
tls_config:
insecure_skip_verify: false
ca_file: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token
valid_http_versions:
- HTTP/1.1
- HTTP/2
valid_status_codes: []
prober: http
timeout: 5sHinzufügen der Prometheus-Scrape-Konfiguration
- job_name: 'kube-api-blackbox'
metrics_path: /probe
params:
module: [kube-api]
static_configs:
- targets:
- https://kubernetes.default.svc/api
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: prometheus-blackbox-exporter:9115 # The blackbox exporter.Wenden Sie Prometheus Secret an
PROMETHEUS_ADD_CONFIG=$(cat prometheus-additional.yaml | base64)
cat << EOF | kubectl --namespace=monitoring apply -f -
apiVersion: v1
kind: Secret
metadata:
name: additional-scrape-configs
type: Opaque
data:
prometheus-additional.yaml: $PROMETHEUS_ADD_CONFIG
EOFWarnregeln hinzufügen
kubectl --namespace=monitoring edit prometheusrules prometheus-k8s-rules
...
- name: k8s-api-server-cert-expiry
rules:
- alert: K8sAPIServerSSLCertExpiringAfterThreeMonths
expr: probe_ssl_earliest_cert_expiry{job="kube-api-blackbox"} - time() < 86400 * 90
for: 1w
labels:
severity: warning
annotations:
summary: "Kubernetes API Server SSL certificate will expire after three months (instance {{ $labels.instance }})"
description: "Kubernetes API Server SSL certificate expires in 90 daysn VALUE = {{ $value }}n LABELS: {{ $labels }}"Nützliche Links
Source: habr.com