3.8. 配置远程写入存储
您可以配置远程写入存储,使 Prometheus 能够将最接近的指标发送到远程系统,以进行长期存储。这样做不会影响 Prometheus 存储指标的方式和时长。
先决条件
-
您可以使用具有
dedicated-admin
角色的用户访问集群。 -
user-workload-monitoring-config
ConfigMap
对象存在。在集群创建时默认创建此对象。 -
已安装 OpenShift CLI(
oc
)。 您已设置了一个远程写入兼容端点(如 Thanos),并且知道端点 URL。有关与远程写入功能兼容的端点的信息,请参阅 Prometheus 远程端点和存储文档。
重要红帽只提供配置远程写入发送者的信息,而不提供有关配置接收器端点的指导。客户负责设置自己的端点,这些端点与远程写入兼容。端点接收器配置的问题不包括在红帽产品支持中。
您已为远程写入端点在
Secret
对象中设置身份验证凭证。您必须在openshift-user-workload-monitoring
命名空间中创建 secret。警告要减少安全风险,请使用 HTTPS 和身份验证向端点发送指标。
流程
编辑
ConfigMap
对象:在
openshift-user-workload-monitoring
项目中编辑user-workload-monitoring-config
ConfigMap
对象:oc -n openshift-user-workload-monitoring edit configmap user-workload-monitoring-config
$ oc -n openshift-user-workload-monitoring edit configmap user-workload-monitoring-config
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
data/config.yaml/prometheus
下添加一个remoteWrite:
部分,如下例所示:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在身份验证凭证后添加 write relabel 配置值:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 为您要发送到远程端点的指标添加配置。
转发名为
my_metric
的单个指标的示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
my_namespace
命名空间中转发名为my_metric_1
和my_metric_2
的指标示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 保存文件以使改变生效。新的配置会被自动应用。
3.8.1. 支持的远程写入身份验证设置 复制链接链接已复制到粘贴板!
您可以使用不同的方法通过远程写入端点进行身份验证。目前支持的身份验证方法有 AWS 签名版本 4、基本身份验证、授权、OAuth 2.0 和 TLS 客户端。下表提供有关用于远程写入的受支持身份验证方法的详情。
身份验证方法 | 配置映射字段 | 描述 |
---|---|---|
AWS 签名版本 4 |
| 此方法使用 AWS 签名版本 4 身份验证为请求签名。您不能搭配授权、OAuth 2.0 或基本身份验证同时使用此方法。 |
基本身份验证(Basic authentication) |
| 基本身份验证使用配置的用户名和密码在每个远程写入请求上设置授权标头。 |
授权 |
|
授权使用配置的令牌在每个远程写入请求上设置 |
OAuth 2.0 |
|
OAuth 2.0 配置使用客户端凭据授予类型。Prometheus 使用指定的客户端 ID 和客户端 secret 从 |
TLS 客户端 |
| TLS 客户端配置指定 CA 证书、客户端证书和客户端密钥文件信息,用于使用 TLS 与远程写入端点服务器进行身份验证。示例配置假定您已创建了 CA 证书文件、客户端证书文件和客户端密钥文件。 |
3.8.2. 远程写入身份验证设置示例 复制链接链接已复制到粘贴板!
以下示例展示了可用于连接到远程写入端点的不同身份验证设置。每个示例还演示了如何配置包含身份验证凭据和其他相关设置的对应 Secret
对象。每个示例配置身份验证,以用于 openshift-user-workload-monitoring
命名空间中的监控用户定义的项目。
3.8.2.1. AWS 签名版本 4 验证的 YAML 示例 复制链接链接已复制到粘贴板!
以下显示了 openshift-user-workload-monitoring
命名空间中名为 sigv4-credentials
的 sigv4
secret 的设置。
下面显示了一个 AWS Signature Version 4 远程写入身份验证设置示例,它使用 openshift-user-workload-monitoring
命名空间中名为 sigv4-credentials
的 Secret
对象:
3.8.2.2. 用于基本身份验证的 YAML 示例 复制链接链接已复制到粘贴板!
以下显示了 openshift-user-workload-monitoring
命名空间中名为 rw-basic-auth
的 Secret
对象的基本身份验证设置示例:
以下示例显示了使用 openshift-user-workload-monitoring
命名空间中名为 rw-basic-auth
的 Secret
对象的 basicAuth
远程写入配置。它假设您已为端点设置了身份验证凭据。
3.8.2.3. 使用 Secret 对象通过 bearer 令牌进行身份验证的 YAML 示例 复制链接链接已复制到粘贴板!
以下显示了 openshift-user-workload-monitoring
命名空间中名为 rw-bearer-auth
的 Secret
对象的 bearer 令牌设置:
- 1
- 身份验证令牌。
以下显示了在 openshift-user-workload-monitoring
命名空间中使用名为 rw-bearer-auth
的 Secret
对象的 bearer 令牌配置映射设置示例:
3.8.2.4. 用于 OAuth 2.0 验证的 YAML 示例 复制链接链接已复制到粘贴板!
以下显示了 openshift-user-workload-monitoring
命名空间中名为 oauth2-credentials
的 Secret
对象的 OAuth 2.0 设置示例:
下面显示了一个 oauth2
远程写入身份验证示例配置,它使用 openshift-user-workload-monitoring
命名空间中名为 oauth2-credentials
的 Secret
对象:
3.8.2.5. TLS 客户端身份验证的 YAML 示例 复制链接链接已复制到粘贴板!
以下显示了 openshift-user-workload-monitoring
命名空间中名为 mtls-bundle
的 tls
Secret
对象的 TLS 客户端设置示例。
以下示例显示了使用名为 mtls-bundle
的 TLS Secret
对象的 tlsConfig
远程写入身份验证配置。
3.8.3. 远程写入队列配置示例 复制链接链接已复制到粘贴板!
您可以使用 queueConfig
对象来远程写入,以调优远程写入队列参数。以下示例显示了 queue 参数,以及它们用于监控 openshift-user-workload-monitoring
命名空间中的用户定义的项目的默认值。
使用默认值进行远程写入参数配置示例