рд╕рд░реНрд╡рд╛рдВрдирд╛ рдирдорд╕реНрдХрд╛рд░. рдореЗ рдордзреНрдпреЗ OTUS рд▓рд╛рдБрдЪ рд╣реЛрдИрд▓
рдкрд░реНрдпрд╛рд╡рд░рдг
рдЖрдореНрд╣рд╛рд▓рд╛ рдкреБрдвреАрд▓ рдЧреЛрд╖реНрдЯреАрдВрдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдЕрд╕реЗрд▓:
- рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕
- рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рдСрдкрд░реЗрдЯрд░
рдирд┐рд░реНрдпрд╛рддрдХ рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди
рджреНрд╡рд╛рд░реЗ рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рдд рдЖрд╣реЗ ConfigMap
рд╕реЗрдЯрд┐рдВрдЧреНрдЬрд╕рд╛рдареА http
рд╡реЗрдм рд╕реЗрд╡рд╛ рдореЙрдирд┐рдЯрд░рд┐рдВрдЧ рдореЙрдбреНрдпреВрд▓.
apiVersion: v1
kind: ConfigMap
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
data:
blackbox.yaml: |
modules:
http_2xx:
http:
no_follow_redirects: false
preferred_ip_protocol: ip4
valid_http_versions:
- HTTP/1.1
- HTTP/2
valid_status_codes: []
prober: http
timeout: 5s
рдореЙрдбреНрдпреВрд▓ http_2xx
рд╡реЗрдм рд╕реЗрд╡рд╛ HTTP 2xx рд╕реНрдерд┐рддреА рдХреЛрдб рдкрд░рдд рдХрд░рддреЗ рд╣реЗ рддрдкрд╛рд╕рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реЗ рдЬрд╛рддреЗ. рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдПрдХреНрд╕рдкреЛрд░реНрдЯрд░ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рдирдордзреНрдпреЗ рдЕрдзрд┐рдХ рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╡рд░реНрдгрди рдХреЗрд▓реЗ рдЖрд╣реЗ
Kubernetes рдХреНрд▓рд╕реНрдЯрд░рдордзреНрдпреЗ рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрджрд╛рд░ рддреИрдирд╛рдд рдХрд░рдгреЗ
рд╡рд░реНрдгрди рдХрд░рдгреЗ Deployment
╨╕ Service
Kubernetes рдордзреНрдпреЗ рддреИрдирд╛рддреАрд╕рд╛рдареА.
---
kind: Service
apiVersion: v1
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
spec:
type: ClusterIP
ports:
- name: http
port: 9115
protocol: TCP
selector:
app: prometheus-blackbox-exporter
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: prometheus-blackbox-exporter
labels:
app: prometheus-blackbox-exporter
spec:
replicas: 1
selector:
matchLabels:
app: prometheus-blackbox-exporter
template:
metadata:
labels:
app: prometheus-blackbox-exporter
spec:
restartPolicy: Always
containers:
- name: blackbox-exporter
image: "prom/blackbox-exporter:v0.15.1"
imagePullPolicy: IfNotPresent
securityContext:
readOnlyRootFilesystem: true
runAsNonRoot: true
runAsUser: 1000
args:
- "--config.file=/config/blackbox.yaml"
resources:
{}
ports:
- containerPort: 9115
name: http
livenessProbe:
httpGet:
path: /health
port: http
readinessProbe:
httpGet:
path: /health
port: http
volumeMounts:
- mountPath: /config
name: config
- name: configmap-reload
image: "jimmidyson/configmap-reload:v0.2.2"
imagePullPolicy: "IfNotPresent"
securityContext:
runAsNonRoot: true
runAsUser: 65534
args:
- --volume-dir=/etc/config
- --webhook-url=http://localhost:9115/-/reload
resources:
{}
volumeMounts:
- mountPath: /etc/config
name: config
readOnly: true
volumes:
- name: config
configMap:
name: prometheus-blackbox-exporter
рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрдХ рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди рддреИрдирд╛рдд рдХреЗрд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ. рдиреЗрдорд╕реНрдкреЗрд╕ monitoring
рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рдСрдкрд░реЗрдЯрд░ рд╕рдВрджрд░реНрднрд┐рдд.
kubectl --namespace=monitoring apply -f blackbox-exporter.yaml
рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди рд╕рд░реНрд╡ рд╕реЗрд╡рд╛ рдЪрд╛рд▓реВ рдЕрд╕рд▓реНрдпрд╛рдЪреА рдЦрд╛рддреНрд░реА рдХрд░рд╛:
kubectl --namespace=monitoring get all --selector=app=prometheus-blackbox-exporter
рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдЪреЗрдХ
рддреБрдореНрд╣реА рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдПрдХреНрд╕рдкреЛрд░реНрдЯрд░ рд╡реЗрдм рдЗрдВрдЯрд░рдлреЗрд╕ рд╡рд╛рдкрд░реВрди рдНрдХреНрд╕реЗрд╕ рдХрд░реВ рд╢рдХрддрд╛ port-forward
:
kubectl --namespace=monitoring port-forward svc/prometheus-blackbox-exporter 9115:9115
рдпреЗрдереЗ рд╡реЗрдм рдмреНрд░рд╛рдЙрдЭрд░рджреНрд╡рд╛рд░реЗ рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрдХ рд╡реЗрдм рдЗрдВрдЯрд░рдлреЗрд╕рд╢реА рдХрдиреЗрдХреНрдЯ рдХрд░рд╛
рдкрддреНрддреНрдпрд╛рд╡рд░ рдЧреЗрд▓рд╛рдд рддрд░
рдореЗрдЯреНрд░рд┐рдХ рдореВрд▓реНрдп probe_success
1 рдЪреНрдпрд╛ рдмрд░реЛрдмрд░реАрдЪрд╛ рдореНрд╣рдгрдЬреЗ рдпрд╢рд╕реНрд╡реА рддрдкрд╛рд╕рдгреА. 0 рдЪреЗ рдореВрд▓реНрдп рддреНрд░реБрдЯреА рджрд░реНрд╢рд╡рддреЗ.
рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕рдЪреА рд╕реНрдерд╛рдкрдирд╛
рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрдХ рддреИрдирд╛рдд рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рдЖрдореНрд╣реА рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рддреЛ prometheus-additional.yaml
.
- job_name: 'kube-api-blackbox'
scrape_interval: 1w
metrics_path: /probe
params:
module: [http_2xx]
static_configs:
- targets:
- https://www.google.com
- http://www.example.com
- https://prometheus.io
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: prometheus-blackbox-exporter:9115 # The blackbox exporter.
рдЖрдореНрд╣реА рдирд┐рд░реНрдорд╛рдг рдХрд░рддреЛ Secret
рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди.
PROMETHEUS_ADD_CONFIG=$(cat prometheus-additional.yaml | base64)
cat << EOF | kubectl --namespace=monitoring apply -f -
apiVersion: v1
kind: Secret
metadata:
name: additional-scrape-configs
type: Opaque
data:
prometheus-additional.yaml: $PROMETHEUS_ADD_CONFIG
EOF
рд╕реВрдЪрд┐рдд рдХрд░рд╛ additional-scrape-configs
рд╡рд╛рдкрд░реВрди Prometheus рдСрдкрд░реЗрдЯрд░ рд╕рд╛рдареА additionalScrapeConfigs
.
kubectl --namespace=monitoring edit prometheuses k8s
...
spec:
additionalScrapeConfigs:
key: prometheus-additional.yaml
name: additional-scrape-configs
рдЖрдореНрд╣реА рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рд╡реЗрдм рдЗрдВрдЯрд░рдлреЗрд╕рд╡рд░ рдЬрд╛рддреЛ рдЖрдгрд┐ рдореЗрдЯреНрд░рд┐рдХреНрд╕ рдЖрдгрд┐ рдзреНрдпреЗрдпреЗ рддрдкрд╛рд╕рддреЛ.
kubectl --namespace=monitoring port-forward svc/prometheus-k8s 9090:9090
рдЖрдореНрд╣реА рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕рдЪреЗ рдореЗрдЯреНрд░рд┐рдХреНрд╕ рдЖрдгрд┐ рд▓рдХреНрд╖реНрдпреЗ рдкрд╛рд╣рддреЛ.
рд╕реВрдЪрдирд╛рдВрд╕рд╛рдареА рдирд┐рдпрдо рдЬреЛрдбрдгреЗ (рд╕реВрдЪрдирд╛)
рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрджрд╛рд░рд╛рдХрдбреВрди рд╕реВрдЪрдирд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдореНрд╣реА Prometheus рдСрдкрд░реЗрдЯрд░рдордзреНрдпреЗ рдирд┐рдпрдо рдЬреЛрдбреВ.
kubectl --namespace=monitoring edit prometheusrules prometheus-k8s-rules
...
- name: blackbox-exporter
rules:
- alert: ProbeFailed
expr: probe_success == 0
for: 5m
labels:
severity: error
annotations:
summary: "Probe failed (instance {{ $labels.instance }})"
description: "Probe failedn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SlowProbe
expr: avg_over_time(probe_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "Slow probe (instance {{ $labels.instance }})"
description: "Blackbox probe took more than 1s to completen VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: HttpStatusCode
expr: probe_http_status_code <= 199 OR probe_http_status_code >= 400
for: 5m
labels:
severity: error
annotations:
summary: "HTTP Status Code (instance {{ $labels.instance }})"
description: "HTTP status code is not 200-399n VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SslCertificateWillExpireSoon
expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 30
for: 5m
labels:
severity: warning
annotations:
summary: "SSL certificate will expire soon (instance {{ $labels.instance }})"
description: "SSL certificate expires in 30 daysn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SslCertificateHasExpired
expr: probe_ssl_earliest_cert_expiry - time() <= 0
for: 5m
labels:
severity: error
annotations:
summary: "SSL certificate has expired (instance {{ $labels.instance }})"
description: "SSL certificate has expired alreadyn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: HttpSlowRequests
expr: avg_over_time(probe_http_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "HTTP slow requests (instance {{ $labels.instance }})"
description: "HTTP request took more than 1sn VALUE = {{ $value }}n LABELS: {{ $labels }}"
- alert: SlowPing
expr: avg_over_time(probe_icmp_duration_seconds[1m]) > 1
for: 5m
labels:
severity: warning
annotations:
summary: "Slow ping (instance {{ $labels.instance }})"
description: "Blackbox ping took more than 1sn VALUE = {{ $value }}n LABELS: {{ $labels }}"
рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рд╡реЗрдм рдЗрдВрдЯрд░рдлреЗрд╕рдордзреНрдпреЗ, рд╕реНрдЯреЗрдЯрд╕ => рдирд┐рдпрдо рд╡рд░ рдЬрд╛ рдЖрдгрд┐ рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕-рдирд┐рд░реНрдпрд╛рддрдХрд░реНрддреНрдпрд╛рд╕рд╛рдареА рдЕрд▓рд░реНрдЯ рдирд┐рдпрдо рд╢реЛрдзрд╛.
Kubernetes API рд╕рд░реНрд╡реНрд╣рд░ SSL рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛рд▓рдмрд╛рд╣реНрдпрддрд╛ рд╕реВрдЪрдирд╛ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рдд рдЖрд╣реЗ
рдЪрд▓рд╛ Kubernetes API рд╕рд░реНрд╡реНрд╣рд░ SSL рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛рд▓рдмрд╛рд╣реНрдпрддрд╛ рдореЙрдирд┐рдЯрд░рд┐рдВрдЧ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░реВ. рддреЗ рдЖрдард╡рдбреНрдпрд╛рддреВрди рдПрдХрджрд╛ рд╕реВрдЪрдирд╛ рдкрд╛рдард╡реЗрд▓.
Kubernetes API рд╕рд░реНрд╡реНрд╣рд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдгрд╛рд╕рд╛рдареА рдмреНрд▓реЕрдХрдмреЙрдХреНрд╕ рдирд┐рд░реНрдпрд╛рддрдХ рдореЙрдбреНрдпреВрд▓ рдЬреЛрдбрдд рдЖрд╣реЗ.
kubectl --namespace=monitoring edit configmap prometheus-blackbox-exporter
...
kube-api:
http:
method: GET
no_follow_redirects: false
preferred_ip_protocol: ip4
tls_config:
insecure_skip_verify: false
ca_file: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token
valid_http_versions:
- HTTP/1.1
- HTTP/2
valid_status_codes: []
prober: http
timeout: 5s
рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рд╕реНрдХреНрд░реЕрдк рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдЬреЛрдбрдд рдЖрд╣реЗ
- job_name: 'kube-api-blackbox'
metrics_path: /probe
params:
module: [kube-api]
static_configs:
- targets:
- https://kubernetes.default.svc/api
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: prometheus-blackbox-exporter:9115 # The blackbox exporter.
рдкреНрд░реЛрдорд┐рдерд┐рдпрд╕ рд╕рд┐рдХреНрд░реЗрдЯ рд╡рд╛рдкрд░рдгреЗ
PROMETHEUS_ADD_CONFIG=$(cat prometheus-additional.yaml | base64)
cat << EOF | kubectl --namespace=monitoring apply -f -
apiVersion: v1
kind: Secret
metadata:
name: additional-scrape-configs
type: Opaque
data:
prometheus-additional.yaml: $PROMETHEUS_ADD_CONFIG
EOF
рдЕреЕрд▓рд░реНрдЯ рдирд┐рдпрдо рдЬреЛрдбрдд рдЖрд╣реЗ
kubectl --namespace=monitoring edit prometheusrules prometheus-k8s-rules
...
- name: k8s-api-server-cert-expiry
rules:
- alert: K8sAPIServerSSLCertExpiringAfterThreeMonths
expr: probe_ssl_earliest_cert_expiry{job="kube-api-blackbox"} - time() < 86400 * 90
for: 1w
labels:
severity: warning
annotations:
summary: "Kubernetes API Server SSL certificate will expire after three months (instance {{ $labels.instance }})"
description: "Kubernetes API Server SSL certificate expires in 90 daysn VALUE = {{ $value }}n LABELS: {{ $labels }}"
рдЙрдкрдпреБрдХреНрдд рджреБрд╡реЗ
рд╕реНрддреНрд░реЛрдд: www.habr.com