安装

前面的章节中我们学习了用自定义的方式来对 Kubernetes 集群进行监控，基本上也能够完成监控报警的需求了。但实际上对上 Kubernetes 来说，还有更简单方式来监控报警，那就是 Prometheus Operator。Prometheus Operator 为监控 Kubernetes 资源和 Prometheus 实例的管理提供了简单的定义，简化在 Kubernetes 上部署、管理和运行 Prometheus 和 Alertmanager 集群。

介绍

首先我们先来了解下 Prometheus-Operator 的架构图：

上图是 Prometheus-Operator 官方提供的架构图，各组件以不同的方式运行在 Kubernetes 集群中，其中 Operator 是最核心的部分，作为一个控制器，他会去创建Prometheus、ServiceMonitor、AlertManager 以及 PrometheusRule 4个 CRD 资源对象，然后会一直监控并维持这4个资源对象的状态。

Operator：根据自定义资源来部署和管理 Prometheus Server，同时监控这些自定义资源事件的变化来做相应的处理，是整个系统的控制中心。
Prometheus：声明 Prometheus 资源对象期望的状态，Operator 确保这个资源对象运行时一直与定义保持一致。
Prometheus Server：Operator 根据自定义资源 Prometheus 类型中定义的内容而部署的 Prometheus Server 集群，这些自定义资源可以看作是用来管理 Prometheus Server 集群的 StatefulSets 资源。
ServiceMonitor：声明指定监控的服务，描述了一组被 Prometheus 监控的目标列表，就是 exporter 的抽象，用来提供 metrics 数据接口的工具。该资源通过 Labels 来选取对应的 Service Endpoint，让 Prometheus Server 通过选取的 Service 来获取 Metrics 信息。
Service：简单的说就是 Prometheus 监控的对象。
Alertmanager：定义 AlertManager 资源对象期望的状态，Operator 确保这个资源对象运行时一直与定义保持一致。

这样我们要在集群中监控什么数据，就变成了直接去操作 Kubernetes 集群的资源对象了，是不是方便很多了。

安装

我们可以使用 Helm 来快速安装 Prometheus Operator，也可以通过 https://github.com/coreos/kube-prometheus 项目来手动安装，我们这里采用手动安装的方式可以去了解更多的实现细节。

首先 clone 项目代码：

$ git clone https://github.com/coreos/kube-prometheus.git

$ cd manifests

进入到 manifests 目录下面，首先我们需要安装 setup 目录下面的 CRD 和 Operator 资源对象：

$ kubectl apply -f setup/ # 这一步执行最后会有报错，解决办法参考开头

$ kubectl get crd |grep coreos

alertmanagers.monitoring.coreos.com              2020-04-10T07:00:12Z

podmonitors.monitoring.coreos.com                2020-04-10T07:00:13Z

prometheuses.monitoring.coreos.com               2020-04-10T07:00:14Z

prometheusrules.monitoring.coreos.com            2020-04-10T07:00:15Z

servicemonitors.monitoring.coreos.com            2020-04-10T07:00:16Z

thanosrulers.monitoring.coreos.com               2020-04-10T07:00:17Z

这会创建一个名为 monitoring 的命名空间，以及相关的 CRD 资源对象声明和 Prometheus Operator 控制器。前面章节中我们讲解过 CRD 和 Operator 的使用，当我们声明完 CRD 过后，就可以来自定义资源清单了，但是要让我们声明的自定义资源对象生效就需要安装对应的 Operator 控制器，这里我们都已经安装了，所以接下来就可以来用 CRD 创建真正的自定义资源对象了。其实在 manifests 目录下面的就是我们要去创建的 Prometheus、Alertmanager 以及各种监控对象的资源清单。

没有特殊的定制需求我们可以直接一键安装：

$ kubectl apply -f .

这会自动安装 node-exporter、kube-state-metrics、grafana、prometheus-adapter 以及 prometheus 和 alertmanager 组件，而且 prometheus 和 alertmanager 还是多副本的。

$ kubectl get pods -n monitoring

NAME                                   READY   STATUS              RESTARTS   AGE

alertmanager-main-0                    2/2     Running             0          10m

alertmanager-main-1                    2/2     Running             0          10m

alertmanager-main-2                    2/2     Running             0          10m

grafana-86b55cb79f-jpnmr               1/1     Running             0          9m53s

kube-state-metrics-dbb85dfd5-hl2sn     3/3     Running             0          9m49s

node-exporter-482tf                    2/2     Running             0          95s

node-exporter-9g2cv                    2/2     Running             0          9m47s

node-exporter-dxr2d                    2/2     Running             0          9m47s

node-exporter-h4f6c                    2/2     Running             0          9m47s

node-exporter-hxwqb                    2/2     Running             0          9m47s

node-exporter-lzdw2                    2/2     Running             0          9m47s

node-exporter-n2qj6                    2/2     Running             0          9m47s

prometheus-adapter-5cd5798d96-4r6lx    1/1     Running             0          9m40s

prometheus-k8s-0                       3/3     Running             0          9m27s

prometheus-k8s-1                       3/3     Running             1          9m25s

prometheus-operator-6694b5cb64-z64ns   2/2     Running             0          18m

$ kubectl get svc -n monitoring

NAME                    TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                      AGE

alertmanager-main       ClusterIP   10.111.28.173    <none>        9093/TCP                     12m

alertmanager-operated   ClusterIP   None             <none>        9093/TCP,9094/TCP,9094/UDP   12m

grafana                 ClusterIP   10.99.62.32      <none>        3000/TCP                     11m

kube-state-metrics      ClusterIP   None             <none>        8443/TCP,9443/TCP            11m

node-exporter           ClusterIP   None             <none>        9100/TCP                     11m

prometheus-adapter      ClusterIP   10.100.102.211   <none>        443/TCP                      11m

prometheus-k8s          ClusterIP   10.111.105.155   <none>        9090/TCP                     11m

prometheus-operated     ClusterIP   None             <none>        9090/TCP                     11m

prometheus-operator     ClusterIP   None             <none>        8443/TCP                     20m

可以看到上面针对 grafana、alertmanager 和 prometheus 都创建了一个类型为 ClusterIP 的 Service，当然如果我们想要在外网访问这两个服务的话可以通过创建对应的 Ingress 对象或者使用 NodePort 类型的 Service，我们这里为了简单，直接使用 NodePort 类型的服务即可，编辑 grafana、alertmanager-main 和 prometheus-k8s 这3个 Service，将服务类型更改为 NodePort:

# 将 type: ClusterIP 更改为 type: NodePort

$ kubectl edit svc grafana -n monitoring

$ kubectl edit svc alertmanager-main -n monitoring

$ kubectl edit svc prometheus-k8s -n monitoring

$ kubectl get svc -n monitoring

NAME                    TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                      AGE

alertmanager-main       NodePort    10.111.28.173    <none>        9093:30733/TCP               18m

grafana                 NodePort    10.99.62.32      <none>        3000:32150/TCP               17m

prometheus-k8s          NodePort    10.111.105.155   <none>        9090:30206/TCP               17m

......

更改完成后，我们就可以通过上面的 NodePort 去访问对应的服务了，比如查看 prometheus 的服务发现页面：

注意: 这一步用浏览器访问会报错504，原因是设置了网络访问策略，删除对应的网络策略就可以了，使用ingress无法访问也是同样的解决办法

ingress访问

# cat alertmanager-ingress.yaml

---

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

  name: alertmanager-ingress

  namespace: monitoring

spec:

  ingressClassName: nginx

  rules:

    - host: www.fff.com # 自定义域名，本机hosts配置解析

      http:

        paths:

          - backend:

              service:

                name: alertmanager-main

                port:

                  number: 9093

            path: /

            pathType: Prefix

# cat grafana-ingress.yaml

---

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

  name: grafana-ingress

  namespace: monitoring

spec:

  ingressClassName: nginx

  rules:

    - host: www.eee.com # 自定义域名，本机hosts配置解析

      http:

        paths:

          - backend:

              service:

                name: grafana

                port:

                  number: 3000

            path: /

            pathType: Prefix

# cat prometheus-ingress.yaml

---

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

  name: prometheus-ingress

  namespace: monitoring

spec:

  ingressClassName: nginx

  rules:

    - host: www.ddd.com # 自定义域名，本机hosts配置解析

      http:

        paths:

          - backend:

              service:

                name: prometheus-k8s

                port:

                  number: 9090

            path: /

            pathType: Prefix

可以看到已经监控上了很多指标数据了，上面我们可以看到 Prometheus 是两个副本，我们这里通过 Service 去访问，按正常来说请求是会去轮询访问后端的两个 Prometheus 实例的，但实际上我们这里访问的时候始终是路由到后端的一个实例上去，因为这里的 Service 在创建的时候添加了 sessionAffinity: ClientIP 这样的属性，会根据 ClientIP 来做 session 亲和性，所以我们不用担心请求会到不同的副本上去(文件：prometheus-service.yaml)：

apiVersion: v1

kind: Service

metadata:

  labels:

    prometheus: k8s

  name: prometheus-k8s

  namespace: monitoring

spec:

  ports:

  - name: web

    port: 9090

    targetPort: web

  selector:

    app: prometheus

    prometheus: k8s

  sessionAffinity: ClientIP

配置

我们可以看到上面的监控指标大部分的配置都是正常的，只有两三个没有管理到对应的监控目标，比如 kube-controller-manager 和 kube-scheduler 这两个系统组件。

kube-controller-manager 和 kube-scheduler 这两个系统组件使用的文件分别是：kubernetesControlPlane-serviceMonitorKubeControllerManager.yaml 和 kubernetesControlPlane-serviceMonitorKubeScheduler.yaml

里面的监控信息地址使用的均是port: https-metrics。

查看现prometheus的Configuration配置信息，发现里面有关于 kube-controller-manager 和 kube-scheduler 这两个系统组件的配置信息

左边显示比右边实际配置的少俩，正好是kube-controller-manager 和 kube-scheduler

不过在prometheus的Service Discovery中会发现有缺少的那俩，但是targets中没有显示出来

如下这行是原文分析，个别参数与实际情况有些出入

===

这其实就和 ServiceMonitor 的定义有关系了，我们先来查看下 kube-scheduler 组件对应的 ServiceMonitor 资源的定义，manifests/prometheus-serviceMonitorKubeScheduler.yaml：

apiVersion: monitoring.coreos.com/v1

kind: ServiceMonitor

metadata:

  labels:

    k8s-app: kube-scheduler # 与实际文件有变动

  name: kube-scheduler

  namespace: monitoring

spec:

  endpoints:

  - interval: 30s  # 每30s获取一次信息

    port: http-metrics  # 对应 service 的端口名

  jobLabel: k8s-app

  namespaceSelector:  # 表示去匹配某一命名空间中的service，如果想从所有的namespace中匹配用any: true

    matchNames:

    - kube-system

  selector:  # 匹配的 Service 的 labels，如果使用 mathLabels，则下面的所有标签都匹配时才会匹配该 service，如果使用 matchExpressions，则至少匹配一个标签的 service 都会被选择

    matchLabels:

      k8s-app: kube-scheduler

上面是一个典型的 ServiceMonitor 资源对象的声明方式，上面我们通过 selector.matchLabels 在 kube-system 这个命名空间下面匹配具有 k8s-app=kube-scheduler 这样的 Service，但是我们系统中根本就没有对应的 Service：

$ kubectl get svc -n kube-system -l k8s-app=kube-scheduler

No resources found.

所以我们需要去创建一个对应的 Service 对象，才能和 ServiceMonitor 进行关联：(prometheus-kubeSchedulerService.yaml)

apiVersion: v1

kind: Service

metadata:

  namespace: kube-system

  name: kube-scheduler

  labels:

    k8s-app: kube-scheduler # 这个需要根据实际上面的文件进行修改

spec:

  selector:

    component: kube-scheduler

  ports:

  - name: http-metrics # 这个也有变动

    port: 10251 # 实际端口号也变了

    targetPort: 10251 # 实际端口号也变了

其中最重要的是上面 labels 和 selector 部分，labels 区域的配置必须和我们上面的 ServiceMonitor 对象中的 selector 保持一致，selector 下面配置的是 component=kube-scheduler，为什么会是这个 label 标签呢，我们可以去 describe 下 kube-scheduler 这个 Pod：

$ kubectl describe pod kube-scheduler-ydzs-master -n kube-system

Name:               kube-scheduler-ydzs-master

Namespace:          kube-system

Priority:           2000000000

PriorityClassName:  system-cluster-critical

Node:               ydzs-master/10.151.30.11

Start Time:         Sat, 04 Jan 2020 17:42:05 +0800

Labels:             component=kube-scheduler

                    tier=control-plane

......

我们可以看到这个 Pod 具有 component=kube-scheduler 和 tier=control-plane 这两个标签，而前面这个标签具有更唯一的特性，所以使用前面这个标签较好，这样上面创建的 Service 就可以和我们的 Pod 进行关联了，直接创建即可：

$ kubectl apply -f prometheus-kubeSchedulerService.yaml

$ kubectl get svc -n kube-system -l k8s-app=kube-scheduler

NAME             TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)     AGE

kube-scheduler   ClusterIP   10.100.213.244   <none>        10251/TCP   13s

创建完成后，隔一小会儿后去 Prometheus 页面上查看 targets 下面 kube-scheduler 已经可以采集到指标数据了。可以用同样的方式来修复下 kube-controller-manager 组件的监控，只需要创建一个如下所示的 Service 对象，只是端口改成 10252 即可：(prometheus-kubeControllerManagerService.yaml)

apiVersion: v1

kind: Service

metadata:

  namespace: kube-system

  name: kube-controller-manager

  labels:

    k8s-app: kube-controller-manager

spec:

  selector:

    component: kube-controller-manager

  ports:

  - name: http-metrics

    port: 10252

    targetPort: 10252

===

解决ControllerManager与Scheduler无法监控问题

参考网址：https://www.kococ.cn/20210302/cid=697.html

根据上面的分析：

kubernetesControlPlane-serviceMonitorKubeScheduler.yaml文件内容如下：

apiVersion: monitoring.coreos.com/v1

kind: ServiceMonitor

metadata:

  labels:

    app.kubernetes.io/name: kube-scheduler

    app.kubernetes.io/part-of: kube-prometheus

  name: kube-scheduler

  namespace: monitoring

spec:

  endpoints:

  - bearerTokenFile: /var/run/secrets/kubernetes.io/serviceaccount/token

    interval: 30s

    port: https-metrics  # 注意这个

    scheme: https

    tlsConfig:

      insecureSkipVerify: true

  jobLabel: app.kubernetes.io/name # 注意这个

  namespaceSelector:

    matchNames:

    - kube-system # 注意这个

  selector:

    matchLabels:

      app.kubernetes.io/name: kube-scheduler # 注意这个

因此对应创建的service文件内容为：

# cat prometheus-kubeSchedulerService.yaml

apiVersion: v1

kind: Service

metadata:

  namespace: kube-system # 跟上面文件匹配

  name: kube-scheduler

  labels:

    app.kubernetes.io/name: kube-scheduler # 跟上面文件匹配

spec:

  clusterIP: None

  selector:

    component: kube-scheduler # 跟上面文件匹配

  ports:

  - name: https-metrics # 跟上面文件匹配,不是http-metrics

    port: 10259 # 新版使用的端口号

    targetPort: 10259

    protocol: TCP

kubernetesControlPlane-serviceMonitorKubeControllerManager.yaml文件中需要注意的信息跟上面一样，因此，创建的对应service文件内容如下：

# cat prometheus-kubeControllerManagerService.yaml

apiVersion: v1

kind: Service

metadata:

  namespace: kube-system

  name: kube-controller-manager

  labels:

    k8s-app: kube-controller-manager

    app.kubernetes.io/name: kube-controller-manager

spec:

  clusterIP: None

  selector:

    component: kube-controller-manager

  ports:

  - name: https-metrics # 注意这个，不是http-metrics

    port: 10257 # 新版使用的端口号

    targetPort: 10257

    protocol: TCP

另外还需要注意监听地址的问题，默认这俩系统组件监听的地址是127.0.0.1，需要修改

vim /etc/kubernetes/manifests/kube-controller-manager.yaml

将--bind-address=127.0.0.1 改为 --bind-address=0.0.0.0

vim /etc/kubernetes/manifests/kube-scheduler.yaml

将--bind-address=127.0.0.1 改为 --bind-address=0.0.0.0

由于 kube-controller-manager 和 kube-scheduler 是以静态 Pod 运行在集群中的，所以只要修改静态 Pod 目录下对应的 yaml 文件即可。等待一会后，对应服务会自动重启

上面的监控数据配置完成后，我们就可以去查看下 Grafana 下面的监控图表了，同样使用上面的 NodePort 访问即可，第一次登录使用 admin:admin 登录即可，进入首页后，我们可以发现其实 Grafana 已经有很多配置好的监控图表了。

我们可以随便选择一个 Dashboard 查看监控图表信息。

接下来我们再来学习如何完全自定义一个 ServiceMonitor 以及 AlertManager 相关的配置。

自定义监控报警

上节课和大家讲解了 Prometheus Operator 的安装和基本使用方法，这节课给大家介绍如何在 Prometheus Operator 中添加一个自定义的监控项。

除了 Kubernetes 集群中的一些资源对象、节点以及组件需要监控，有的时候我们可能还需要根据实际的业务需求去添加自定义的监控项，添加一个自定义监控的步骤也是非常简单的。

第一步建立一个 ServiceMonitor 对象，用于 Prometheus 添加监控项
第二步为 ServiceMonitor 对象关联 metrics 数据接口的一个 Service 对象
第三步确保 Service 对象可以正确获取到 metrics 数据

接下来我们就来为大家演示如何添加 etcd 集群的监控。无论是 Kubernetes 集群外的还是使用 Kubeadm 安装在集群内部的 etcd 集群，我们这里都将其视作集群外的独立集群，因为对于二者的使用方法没什么特殊之处。

etcd监控

由于我们这里演示环境使用的是 Kubeadm 搭建的集群，我们可以使用 kubectl 工具去获取 etcd 启动的相关参数：

$ kubectl get pods -n kube-system -l component=etcd

NAME               READY   STATUS    RESTARTS   AGE

etcd-ydzs-master   1/1     Running   3          157d

$ kubectl get pods etcd-ydzs-master -n kube-system -o yaml

......

spec:

  containers:

  - command:

    - etcd

    - --advertise-client-urls=https://10.151.30.11:2379

    - --cert-file=/etc/kubernetes/pki/etcd/server.crt

    - --client-cert-auth=true

    - --data-dir=/var/lib/etcd

    - --initial-advertise-peer-urls=https://10.151.30.11:2380

    - --initial-cluster=ydzs-master=https://10.151.30.11:2380

    - --key-file=/etc/kubernetes/pki/etcd/server.key

    - --listen-client-urls=https://127.0.0.1:2379,https://10.151.30.11:2379

    - --listen-metrics-urls=http://127.0.0.1:2381

    - --listen-peer-urls=https://10.151.30.11:2380

    - --name=ydzs-master

    - --peer-cert-file=/etc/kubernetes/pki/etcd/peer.crt

    - --peer-client-cert-auth=true

    - --peer-key-file=/etc/kubernetes/pki/etcd/peer.key

    - --peer-trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt

    - --snapshot-count=10000

    - --trusted-ca-file=/etc/kubernetes/pki/etcd/ca.crt

......

    volumeMounts:

    - mountPath: /var/lib/etcd

      name: etcd-data

    - mountPath: /etc/kubernetes/pki/etcd

      name: etcd-certs

......

  volumes:

  - hostPath:

      path: /etc/kubernetes/pki/etcd

      type: DirectoryOrCreate

    name: etcd-certs

  - hostPath:

      path: /var/lib/etcd

      type: DirectoryOrCreate

    name: etcd-data

......

我们可以看到启动参数里面有一个 --listen-metrics-urls=http://127.0.0.1:2381 的配置，该参数就是来指定 metrics 接口运行在 2381 端口下面的，而且是 http 的协议，所以也不需要什么证书配置，这就比以前的版本要简单许多了，以前的版本需要用 https 协议访问，所以要配置对应的证书。

接下来我们直接创建对应的 ServiceMonitor 对象即可（prometheus-serviceMonitorEtcd.yaml）:

apiVersion: monitoring.coreos.com/v1

kind: ServiceMonitor

metadata:

  name: etcd-k8s

  namespace: monitoring

  labels:

    k8s-app: etcd-k8s

spec:

  jobLabel: k8s-app

  endpoints:

  - port: port

    interval: 15s

  selector:

    matchLabels:

      k8s-app: etcd

  namespaceSelector:

    matchNames:

    - kube-system

上面我们在 monitoring 命名空间下面创建了名为 etcd-k8s 的 ServiceMonitor 对象，基本属性和前面章节中的一致，匹配 kube-system 这个命名空间下面的具有 k8s-app=etcd 这个 label 标签的 Service，jobLabel 表示用于检索 job 任务名称的标签，由于 etcd 的 metrics 接口在 2381 端口下面，不需要 https 安全认证，所以用默认的配置即可。关于 ServiceMonitor 更多的配置属性，可以参考官方的 API 文档的描述。

然后我们直接创建这个 ServiceMonitor 对象即可：

$ kubectl apply -f prometheus-serviceMonitorEtcd.yaml

servicemonitor.monitoring.coreos.com "etcd-k8s" created

但实际上现在并不能监控到 etcd 集群，因为并没有一个满足 ServiceMonitor 条件的 Service 对象与之关联：

$ kubectl get svc -n kube-system -l k8s-app=etcd

No resources found.

所以接下来我们需要创建一个满足上面条件的 Service 对象，由于我们把 etcd 当成是集群外部的服务，所以要引入到集群中来我们就需要自定义 Endpoints 对象来创建 Service 对象了：(etcd-service.yaml)

apiVersion: v1

kind: Service

metadata:

  name: etcd-k8s

  namespace: kube-system

  labels:

    k8s-app: etcd

spec:

  type: ClusterIP

  clusterIP: None  # 一定要设置 clusterIP:None

  ports:

  - name: port

    port: 2381

---

apiVersion: v1

kind: Endpoints

metadata:

  name: etcd-k8s

  namespace: kube-system

  labels:

    k8s-app: etcd

subsets:

- addresses:

  - ip: 10.151.30.11  # 指定etcd节点地址，如果是集群则继续向下添加

    nodeName: etc-master

  ports:

  - name: port

    port: 2381

我们这里创建的 Service 没有采用前面通过 label 标签的形式去匹配 Pod 的做法，因为前面我们说过很多时候我们创建的 etcd 集群是独立于集群之外的，这种情况下面我们就需要自定义一个 Endpoints，要注意 metadata 区域的内容要和 Service 保持一致，Service 的 clusterIP 设置为 None，新版本的 etcd 将 metrics 接口数据放置到了 2381 端口。直接创建该资源对象即可：

$ kubectl apply -f etcd-service.yaml

service/etcd-k8s configured

endpoints/etcd-k8s configured

$ kubectl get svc -n kube-system -l k8s-app=etcd

NAME       TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)    AGE

etcd-k8s   ClusterIP   None         <none>        2381/TCP   128d

创建完成后，隔一会儿去 Prometheus 的 Dashboard 中查看 targets，便会有 etcd 的监控项了：

可以看到有一个明显的错误，2381 端口链接被拒绝，这是因为我们这里的 etcd 的 metrics 接口是监听在 127.0.0.1 这个 IP 上面的，所以访问会拒绝：

--listen-metrics-urls=http://127.0.0.1:2381

我们只需要在 /etc/kubernetes/manifest/ 目录下面（静态 Pod 默认的目录）的 etcd.yaml 文件中将上面的listen-metrics-urls 更改成节点 IP 即可：

--listen-metrics-urls=http://0.0.0.0:2381

当 etcd 重启生效后，查看 etcd 这个监控任务就正常了：

数据采集到后，可以在 grafana 中导入编号为 3070 的 dashboard，就可以获取到 etcd 的监控图表：

配置 PrometheusRule

现在我们知道怎么自定义一个 ServiceMonitor 对象了，但是如果需要自定义一个报警规则的话呢？我们去查看 Prometheus Dashboard 的 Alert 页面下面就已经有很多报警规则了，这一系列的规则其实都来自于项目 https://github.com/kubernetes-monitoring/kubernetes-mixin，我们都通过 Prometheus Operator 安装配置上了。

但是这些报警信息是哪里来的呢？他们应该用怎样的方式通知我们呢？我们知道之前我们使用自定义的方式可以在 Prometheus 的配置文件之中指定 AlertManager 实例和 报警的 rules 文件，现在我们通过 Operator 部署的呢？我们可以在 Prometheus Dashboard 的 Config 页面下面查看关于 AlertManager 的配置：

alerting:

  alert_relabel_configs:

  - separator: ;

    regex: prometheus_replica

    replacement: $1

    action: labeldrop

  alertmanagers:

  - kubernetes_sd_configs:

    - role: endpoints

      namespaces:

        names:

        - monitoring

    scheme: http

    path_prefix: /

    timeout: 10s

    api_version: v1

    relabel_configs:

    - source_labels: [__meta_kubernetes_service_name]

      separator: ;

      regex: alertmanager-main

      replacement: $1

      action: keep

    - source_labels: [__meta_kubernetes_endpoint_port_name]

      separator: ;

      regex: web

      replacement: $1

      action: keep

rule_files:

- /etc/prometheus/rules/prometheus-k8s-rulefiles-0/*.yaml

上面 alertmanagers 的配置我们可以看到是通过 role 为 endpoints 的 kubernetes 的自动发现机制获取的，匹配的是服务名为 alertmanager-main，端口名为 web 的 Service 服务，我们可以查看下 alertmanager-main 这个 Service：

$ kubectl describe svc alertmanager-main -n monitoring

Name:                     alertmanager-main

Namespace:                monitoring

Labels:                   alertmanager=main

Annotations:              kubectl.kubernetes.io/last-applied-configuration:

                            {"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"labels":{"alertmanager":"main"},"name":"alertmanager-main","namespace":"...

Selector:                 alertmanager=main,app=alertmanager

Type:                     NodePort

IP:                       10.106.211.33

Port:                     web  9093/TCP

TargetPort:               web/TCP

NodePort:                 web  31742/TCP

Endpoints:                10.244.3.119:9093,10.244.4.112:9093,10.244.8.164:9093

Session Affinity:         ClientIP

External Traffic Policy:  Cluster

Events:                   <none>

可以看到服务名正是 alertmanager-main，Port 定义的名称也是 web，符合上面的规则，所以 Prometheus 和 AlertManager 组件就正确关联上了。而对应的报警规则文件位于：/etc/prometheus/rules/prometheus-k8s-rulefiles-0/目录下面所有的 YAML 文件。我们可以进入 Prometheus 的 Pod 中验证下该目录下面是否有 YAML 文件：

$ kubectl exec -it prometheus-k8s-0 /bin/sh -n monitoring

Defaulting container name to prometheus.

Use 'kubectl describe pod/prometheus-k8s-0 -n monitoring' to see all of the containers in this pod.

/prometheus $ ls /etc/prometheus/rules/prometheus-k8s-rulefiles-0/

monitoring-prometheus-k8s-rules.yaml

/prometheus $ cat /etc/prometheus/rules/prometheus-k8s-rulefiles-0/monitoring-pr

ometheus-k8s-rules.yaml

groups:

- name: k8s.rules

  rules:

  - expr: |

      sum(rate(container_cpu_usage_seconds_total{job="kubelet", image!="", container_name!=""}[5m])) by (namespace)

    record: namespace:container_cpu_usage_seconds_total:sum_rate

......

这个 YAML 文件实际上就是我们之前创建的一个 PrometheusRule 文件包含的内容：

$ cat prometheus-rules.yaml

apiVersion: monitoring.coreos.com/v1

kind: PrometheusRule

metadata:

  labels:

    prometheus: k8s

    role: alert-rules

  name: prometheus-k8s-rules

  namespace: monitoring

spec:

  groups:

  - name: node-exporter.rules

    rules:

    - expr: |

        count without (cpu) (

          count without (mode) (

            node_cpu_seconds_total{job="node-exporter"}

          )

        )

      record: instance:node_num_cpu:sum

    - expr: |

......

我们这里的 PrometheusRule 的 name 为 prometheus-k8s-rules，namespace 为 monitoring，我们可以猜想到我们创建一个 PrometheusRule 资源对象后，会自动在上面的 prometheus-k8s-rulefiles-0 目录下面生成一个对应的 -.yaml 文件，所以如果以后我们需要自定义一个报警选项的话，只需要定义一个 PrometheusRule 资源对象即可。至于为什么 Prometheus 能够识别这个 PrometheusRule 资源对象呢？这就需要查看我们创建的 prometheus 这个资源对象了，里面有非常重要的一个属性 ruleSelector，用来匹配 rule 规则的过滤器，要求匹配具有 prometheus=k8s 和 role=alert-rules 标签的 PrometheusRule 资源对象，现在明白了吧？

ruleSelector:

  matchLabels:

    prometheus: k8s

    role: alert-rules

所以我们要想自定义一个报警规则，只需要创建一个具有 prometheus=k8s 和 role=alert-rules 标签的 PrometheusRule 对象就行了，比如现在我们添加一个 etcd 是否可用的报警，我们知道 etcd 整个集群有一半以上的节点可用的话集群就是可用的，所以我们判断如果不可用的 etcd 数量超过了一半那么就触发报警，创建文件 prometheus-etcdRules.yaml：

apiVersion: monitoring.coreos.com/v1

kind: PrometheusRule

metadata:

  labels:

    prometheus: k8s

    role: alert-rules

  name: etcd-rules

  namespace: monitoring

spec:

  groups:

  - name: etcd

    rules:

    - alert: EtcdClusterUnavailable

      annotations:

        summary: etcd cluster small

        description: If one more etcd peer goes down the cluster will be unavailable

      expr: |

        count(up{job="etcd"} == 0) > (count(up{job="etcd"}) / 2 - 1)

      for: 3m

      labels:

        severity: critical

注意 label 标签一定至少要有 prometheus=k8s 和 role=alert-rules，创建完成后，隔一会儿再去容器中查看下 rules 文件夹：

$ kubectl apply -f prometheus-etcdRules.yaml

prometheusrule.monitoring.coreos.com/etcd-rules created

$ kubectl exec -it prometheus-k8s-0 /bin/sh -n monitoring

Defaulting container name to prometheus.

Use 'kubectl describe pod/prometheus-k8s-0 -n monitoring' to see all of the containers in this pod.

/prometheus $ ls /etc/prometheus/rules/prometheus-k8s-rulefiles-0/

monitoring-etcd-rules.yaml            monitoring-prometheus-k8s-rules.yaml

可以看到我们创建的 rule 文件已经被注入到了对应的 rulefiles 文件夹下面了，证明我们上面的设想是正确的。然后再去 Prometheus Dashboard 的 Alert 页面下面就可以查看到上面我们新建的报警规则了：

配置报警

我们知道了如何去添加一个报警规则配置项，但是这些报警信息用怎样的方式去发送呢？前面的课程中我们知道我们可以通过 AlertManager 的配置文件去配置各种报警接收器，现在我们是通过 Operator 提供的 alertmanager 资源对象创建的组件，应该怎样去修改配置呢？

首先我们去 Alertmanager 的页面上 status 路径下面查看 AlertManager 的配置信息:

这些配置信息实际上是来自于前面创建的 alertmanager-secret.yaml 文件：

apiVersion: v1

data: {}

kind: Secret

metadata:

  name: alertmanager-main

  namespace: monitoring

stringData:

  alertmanager.yaml: |-

    "global":

      "resolve_timeout": "5m"

    "inhibit_rules":

    - "equal":

      - "namespace"

      - "alertname"

      "source_match":

        "severity": "critical"

      "target_match_re":

        "severity": "warning|info"

    - "equal":

      - "namespace"

      - "alertname"

      "source_match":

        "severity": "warning"

      "target_match_re":

        "severity": "info"

    "receivers":

    - "name": "Default"

    - "name": "Watchdog"

    - "name": "Critical"

    "route":

      "group_by":

      - "namespace"

      "group_interval": "5m"

      "group_wait": "30s"

      "receiver": "Default"

      "repeat_interval": "12h"

      "routes":

      - "match":

          "alertname": "Watchdog"

        "receiver": "Watchdog"

      - "match":

          "severity": "critical"

        "receiver": "Critical"

type: Opaque

我们可以看到内容和上面查看的配置信息是一致的，所以如果我们想要添加自己的接收器，我们就可以直接更改这个文件，比如我们将 Critical 这个接收器的报警信息都发送到钉钉进行报警。

首先在 monitoring 命名空间下面部署一个简单的钉钉 webhook 处理器，前面 Alertmanager 章节已经学习过，这里就不赘述了。

然后修改报警配置文件 alertmanager-secret.yaml，我们将 Critial 这个接收器配置成了 webhook，其他保持不变：

- "name": "Critical"

  "webhook_configs":

  - "url": "http://dingtalk-hook:5000"

    "send_resolved": true

"route":

  "group_by":

  - "namespace"

修改完成后，重新更新这个资源对象：

# 删除然后重新创建相当于强制更新

$ kubectl delete -f alertmanager-secret.yaml

secret "alertmanager-main" deleted

$ kubectl apply -f alertmanager-secret.yaml

secret/alertmanager-main configured

更新完成后，很快我们就会收到钉钉的报警消息了，而且 AlertManager 页面的 status 页面的配置信息可以看到也已经变成上面我们的配置信息了：

到这里我们就完成了 Prometheus Operator 的自定义监控和报警。

高级配置

前面我们一起学习了如何在 Prometheus Operator 下面自定义一个监控项，以及自定义报警规则的使用。那么我们还能够直接使用前面课程中的自动发现功能吗？如果在我们的 Kubernetes 集群中有了很多的 Service/Pod，那么我们都需要一个一个的去建立一个对应的 ServiceMonitor 对象来进行监控吗？这样岂不是又变得麻烦起来了？

自动发现配置

为解决上面的问题，Prometheus Operator 为我们提供了一个额外的抓取配置的来解决这个问题，我们可以通过添加额外的配置来进行服务发现进行自动监控。和前面自定义的方式一样，我们可以在 Prometheus Operator 当中去自动发现并监控具有prometheus.io/scrape=true 这个 annotations 的 Service，之前我们定义的 Prometheus 的配置如下：

- job_name: 'kubernetes-endpoints'

  kubernetes_sd_configs:

  - role: endpoints

  relabel_configs:

  - source_labels: [__meta_kubernetes_service_annotation_prometheus_io_scrape]

    action: keep

    regex: true

  - source_labels: [__meta_kubernetes_service_annotation_prometheus_io_scheme]

    action: replace

    target_label: __scheme__

    regex: (https?)

  - source_labels: [__meta_kubernetes_service_annotation_prometheus_io_path]

    action: replace

    target_label: __metrics_path__

    regex: (.+)

  - source_labels: [__address__, __meta_kubernetes_service_annotation_prometheus_io_port]

    action: replace

    target_label: __address__

    regex: ([^:]+)(?::\d+)?;(\d+)

    replacement: $1:$2

  - action: labelmap

    regex: __meta_kubernetes_service_label_(.+)

  - source_labels: [__meta_kubernetes_namespace]

    action: replace

    target_label: kubernetes_namespace

  - source_labels: [__meta_kubernetes_service_name]

    action: replace

    target_label: kubernetes_name

  - source_labels: [__meta_kubernetes_pod_name]

    action: replace

    target_label: kubernetes_pod_name

如果你对上面这个配置还不是很熟悉的话，建议去查看下前面关于 Kubernetes 常用资源对象监控章节的介绍，要想自动发现集群中的 Service，就需要我们在 Service 的 annotation 区域添加 prometheus.io/scrape=true 的声明，将上面文件直接保存为 prometheus-additional.yaml，然后通过这个文件创建一个对应的 Secret 对象：

$ kubectl create secret generic additional-configs --from-file=prometheus-additional.yaml -n monitoring

secret "additional-configs" created

然后我们需要在声明 prometheus 的资源对象文件中通过 additionalScrapeConfigs 属性添加上这个额外的配置：(prometheus-prometheus.yaml)

apiVersion: monitoring.coreos.com/v1

kind: Prometheus

metadata:

  labels:

    prometheus: k8s

  name: k8s

  namespace: monitoring

spec:

  alerting:

    alertmanagers:

    - name: alertmanager-main

      namespace: monitoring

      port: web

  image: quay.io/prometheus/prometheus:v2.15.2

  nodeSelector:

    kubernetes.io/os: linux

  podMonitorNamespaceSelector: {}

  podMonitorSelector: {}

  replicas: 2

  resources:

    requests:

      memory: 400Mi

  ruleSelector:

    matchLabels:

      prometheus: k8s

      role: alert-rules

  securityContext:

    fsGroup: 2000

    runAsNonRoot: true

    runAsUser: 1000

  serviceAccountName: prometheus-k8s

  serviceMonitorNamespaceSelector: {}

  serviceMonitorSelector: {}

  version: v2.15.2

  additionalScrapeConfigs:

    name: additional-configs

    key: prometheus-additional.yaml

关于 additionalScrapeConfigs 属性的具体介绍，我们可以使用 kubectl explain 命令来了解详细信息：

$ kubectl explain prometheus.spec.additionalScrapeConfigs

KIND:     Prometheus

VERSION:  monitoring.coreos.com/v1

RESOURCE: additionalScrapeConfigs <Object>

DESCRIPTION:

     AdditionalScrapeConfigs allows specifying a key of a Secret containing

     additional Prometheus scrape configurations. Scrape configurations

     specified are appended to the configurations generated by the Prometheus

     Operator. Job configurations specified must have the form as specified in

     the official Prometheus documentation:

     https://prometheus.io/docs/prometheus/latest/configuration/configuration/#scrape_config.

     As scrape configs are appended, the user is responsible to make sure it is

     valid. Note that using this feature may expose the possibility to break

     upgrades of Prometheus. It is advised to review Prometheus release notes to

     ensure that no incompatible scrape configs are going to break Prometheus

     after the upgrade.

FIELDS:

   key  <string> -required-

     The key of the secret to select from. Must be a valid secret key.

   name <string>

     Name of the referent. More info:

     https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

     TODO: Add other useful fields. apiVersion, kind, uid?

   optional     <boolean>

     Specify whether the Secret or its key must be defined

添加完成后，直接更新 prometheus 这个 CRD 资源对象即可：

$ kubectl apply -f prometheus-prometheus.yaml

prometheus.monitoring.coreos.com "k8s" configured

隔一小会儿，可以前往 Prometheus 的 Dashboard 中查看配置已经生效了：

但是我们切换到 targets 页面下面却并没有发现对应的监控任务，查看 Prometheus 的 Pod 日志：

$ kubectl logs -f prometheus-k8s-0 prometheus -n monitoring

......

level=error ts=2020-04-18T02:38:27.800Z caller=klog.go:94 component=k8s_client_runtime func=ErrorDepth msg="/app/discovery/kubernetes/kubernetes.go:261: Failed to list *v1.Endpoints: endpoints is forbidden: User \"system:serviceaccount:monitoring:prometheus-k8s\" cannot list resource \"endpoints\" in API group \"\" at the cluster scope"

level=error ts=2020-04-18T02:38:27.801Z caller=klog.go:94 component=k8s_client_runtime func=ErrorDepth msg="/app/discovery/kubernetes/kubernetes.go:263: Failed to list *v1.Pod: pods is forbidden: User \"system:serviceaccount:monitoring:prometheus-k8s\" cannot list resource \"pods\" in API group \"\" at the cluster scope"

可以看到有很多错误日志出现，都是 xxx is forbidden，这说明是 RBAC 权限的问题，通过 prometheus 资源对象的配置可以知道 Prometheus 绑定了一个名为 prometheus-k8s 的 ServiceAccount 对象，而这个对象绑定的是一个名为 prometheus-k8s 的 ClusterRole：（prometheus-clusterRole.yaml）

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: prometheus-k8s

rules:

- apiGroups:

  - ""

  resources:

  - nodes/metrics

  verbs:

  - get

- nonResourceURLs:

  - /metrics

  verbs:

  - get

上面的权限规则中我们可以看到明显没有对 Service 或者 Pod 的 list 权限，所以报错了，要解决这个问题，我们只需要添加上需要的权限即可：

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: prometheus-k8s

rules:

- apiGroups:

  - ""

  resources:

  - nodes

  - services

  - endpoints

  - pods

  - nodes/proxy

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - ""

  resources:

  - configmaps

  - nodes/metrics

  verbs:

  - get

- nonResourceURLs:

  - /metrics

  verbs:

  - get

更新上面的 ClusterRole 这个资源对象，然后重建下 Prometheus 的所有 Pod，正常就可以看到 targets 页面下面有 kubernetes-endpoints 这个监控任务了：

这里发现的几个抓取目标是因为 Service 中都有 prometheus.io/scrape=true 这个 annotation。

数据持久化

上面我们在修改完权限的时候，重启了 Prometheus 的 Pod，如果我们仔细观察的话会发现我们之前采集的数据已经没有了，这是因为我们通过 prometheus 这个 CRD 创建的 Prometheus 并没有做数据的持久化，我们可以直接查看生成的 Prometheus Pod 的挂载情况就清楚了：

$ kubectl get pod prometheus-k8s-0 -n monitoring -o yaml

......

    volumeMounts:

    - mountPath: /etc/prometheus/config_out

      name: config-out

      readOnly: true

    - mountPath: /prometheus

      name: prometheus-k8s-db

......

  volumes:

......

  - emptyDir: {}

    name: prometheus-k8s-db

......

我们可以看到 Prometheus 的数据目录 /prometheus 实际上是通过 emptyDir 进行挂载的，我们知道 emptyDir 挂载的数据的生命周期和 Pod 生命周期一致的，所以如果 Pod 挂掉了，数据也就丢失了，这也就是为什么我们重建 Pod 后之前的数据就没有了的原因，对应线上的监控数据肯定需要做数据的持久化的，同样的 prometheus 这个 CRD 资源也为我们提供了数据持久化的配置方法，由于我们的 Prometheus 最终是通过 Statefulset 控制器进行部署的，所以我们这里通过 storageclass 来做数据持久化，同样还是直接使用前面课程中的 Ceph RBD 的 rook-ceph-block 这个StorageClass 对象，此外由于 Prometheus 本身对 NFS 存储没有做相关的支持，所以线上一定不要用 NFS 来做数据持久化，对于如何去为 prometheus 这个 CRD 对象配置存储数据，我们可以去查看官方文档 API，也可以用 kubectl explain 命令去了解：

$ kubectl explain prometheus.spec.storage

KIND:     Prometheus

VERSION:  monitoring.coreos.com/v1

RESOURCE: storage <Object>

DESCRIPTION:

     Storage spec to specify how storage shall be used.

FIELDS:

   emptyDir     <Object>

     EmptyDirVolumeSource to be used by the Prometheus StatefulSets. If

     specified, used in place of any volumeClaimTemplate. More info:

     https://kubernetes.io/docs/concepts/storage/volumes/#emptydir

   volumeClaimTemplate  <Object>

     A PVC spec to be used by the Prometheus StatefulSets.

所以我们在 prometheus 的 CRD 对象中通过 storage 属性配置 volumeClaimTemplate 对象即可：(prometheus-prometheus.yaml)

......

storage:

  volumeClaimTemplate:

    spec:

      storageClassName: rook-ceph-block

      resources:

        requests:

          storage: 20Gi

然后更新 prometheus 这个 CRD 资源，更新完成后会自动生成两个 PVC 和 PV 资源对象：

$ kubectl apply -f prometheus-prometheus.yaml

prometheus.monitoring.coreos.com/k8s configured

$ kubectl get pvc -n monitoring

NAME                                 STATUS   VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS      AGE

prometheus-k8s-db-prometheus-k8s-0   Bound    pvc-79ad4856-2ab0-4445-814f-958a4699fab9   20Gi       RWO            rook-ceph-block   56s

prometheus-k8s-db-prometheus-k8s-1   Bound    pvc-8eae438e-bf7f-41a3-ae58-d7018c727866   20Gi       RWO            rook-ceph-block   55s

$ kubectl get pv |grep monitoring

pvc-79ad4856-2ab0-4445-814f-958a4699fab9   20Gi       RWO            Retain           Bound      monitoring/prometheus-k8s-db-prometheus-k8s-0          rook-ceph-block            90s

pvc-8eae438e-bf7f-41a3-ae58-d7018c727866   20Gi       RWO            Retain           Bound      monitoring/prometheus-k8s-db-prometheus-k8s-1          rook-ceph-block            90s

现在我们再去看 Prometheus Pod 的数据目录就可以看到是关联到一个 PVC 对象上了：

$ kubectl get pod prometheus-k8s-0 -n monitoring -o yaml

......

    volumeMounts:

    - mountPath: /etc/prometheus/config_out

      name: config-out

      readOnly: true

    - mountPath: /prometheus

      name: prometheus-k8s-db

......

  volumes:

......

  - name: prometheus-k8s-db

    persistentVolumeClaim:

      claimName: prometheus-k8s-db-prometheus-k8s-0

......

现在即使我们的 Pod 挂掉了，数据也不会丢失了。到这里 Prometheus Operator 的一些基本配置就算完成了，对于大型的监控集群还需要做一些其他配置，比如前面我们学习的使用 Thanos 来做 Prometheus 集群的高可用已经数据远程存储，对于 Prometheus Operator 来说，要配置 Thanos 也比较简单，因为 prometheus 这个 CRD 对象本身也支持的：

$ kubectl explain prometheus.spec.thanos

KIND:     Prometheus

VERSION:  monitoring.coreos.com/v1

RESOURCE: thanos <Object>

DESCRIPTION:

     Thanos configuration allows configuring various aspects of a Prometheus

     server in a Thanos environment. This section is experimental, it may change

     significantly without deprecation notice in any release. This is

     experimental and may change significantly without backward compatibility in

     any release.

FIELDS:

   baseImage    <string>

     Thanos base image if other than default.

   grpcServerTlsConfig  <Object>

     GRPCServerTLSConfig configures the gRPC server from which Thanos Querier

     reads recorded rule data. Note: Currently only the CAFile, CertFile, and

     KeyFile fields are supported. Maps to the '--grpc-server-tls-*' CLI args.

   image        <string>

     Image if specified has precedence over baseImage, tag and sha combinations.

     Specifying the version is still necessary to ensure the Prometheus Operator

     knows what version of Thanos is being configured.

   listenLocal  <boolean>

     ListenLocal makes the Thanos sidecar listen on loopback, so that it does

     not bind against the Pod IP.

   objectStorageConfig  <Object>

     ObjectStorageConfig configures object storage in Thanos.

   resources    <Object>

     Resources defines the resource requirements for the Thanos sidecar. If not

     provided, no requests/limits will be set

   sha  <string>

     SHA of Thanos container image to be deployed. Defaults to the value of

     `version`. Similar to a tag, but the SHA explicitly deploys an immutable

     container image. Version and Tag are ignored if SHA is set.

   tag  <string>

     Tag of Thanos sidecar container image to be deployed. Defaults to the value

     of `version`. Version is ignored if Tag is set.

   tracingConfig        <Object>

     TracingConfig configures tracing in Thanos. This is an experimental

     feature, it may change in any upcoming release in a breaking way.

   version      <string>

     Version describes the version of Thanos to use.

关于 prometheus operator 中如何配置 thanos，可以查看官方文档的介绍：https://github.com/coreos/prometheus-operator/blob/master/Documentation/thanos.md。

我们可以看到上面的属性中有一个 objectStorageConfig 字段，该字段也就是用来指定对象存储相关配置的，这里同样我们使用前面 Thanos 章节中的对象存储配置即可：(thanos-storage-minio.yaml)

type: s3

config:

  bucket: promethes-operator-data  # 记得在 minio 中创建这个 bucket

  endpoint: minio.minio.svc.cluster.local:9000

  access_key: minio

  secret_key: minio123

  insecure: true

  signature_version2: false

使用上面的配置文件创建一个对应的 Secret 资源对象：

$ kubectl -n monitoring create secret generic thanos-objectstorage --from-file=thanos.yaml=thanos-storage-minio.yaml

secret/thanos-objectstorage created

创建完成后在 prometheus 的 CRD 对象中添加如下配置：(prometheus-prometheus.yaml )

thanos:

  objectStorageConfig:

    key: thanos.yaml

    name: thanos-objectstorage

然后直接更新 prometheus 这个 CRD 对象即可：

$ kubectl apply -f prometheus-prometheus.yaml

prometheus.monitoring.coreos.com/k8s configured

$ kubectl get pods -n monitoring -l app=prometheus

NAME               READY   STATUS    RESTARTS   AGE

prometheus-k8s-0   4/4     Running   1          11m

prometheus-k8s-1   4/4     Running   0          11m

更新完成后，可以看到 Prometheus 的 Pod 变成了4个容器，新增了一个 sidecar 容器：

$ kubectl get pod prometheus-k8s-0 -n monitoring -o yaml

......

  - args:

    - sidecar

    - --prometheus.url=http://localhost:9090/

    - --tsdb.path=/prometheus

    - --grpc-address=[$(POD_IP)]:10901

    - --http-address=[$(POD_IP)]:10902

    - --objstore.config=$(OBJSTORE_CONFIG)

    env:

    - name: POD_IP

      valueFrom:

        fieldRef:

          apiVersion: v1

          fieldPath: status.podIP

    - name: OBJSTORE_CONFIG

      valueFrom:

        secretKeyRef:

          key: thanos.yaml

          name: thanos-objectstorage

    image: quay.io/thanos/thanos:v0.11.0

    imagePullPolicy: IfNotPresent

    name: thanos-sidecar

    ports:

    - containerPort: 10902

      name: http

      protocol: TCP

    - containerPort: 10901

      name: grpc

      protocol: TCP

......

这个其实和前面课程中学习的手动方式部署 Thanos 非常类似，现在相当于我们将 Prometheus 的数据输出到了远程对象存储上面去了，但是这还只是第一步，我们还需要部署其他的 Thanos 组件，比如 Querier、Store、Compactor 等，这些内容其实前面章节我们已经详细讲解过了，这里我们就不再赘述了。

最后我们查看下面我们的 prometheus 的 CRD 对象的完整配置：

apiVersion: monitoring.coreos.com/v1

kind: Prometheus

metadata:

  labels:

    prometheus: k8s

  name: k8s

  namespace: monitoring

spec:

  alerting:

    alertmanagers:

    - name: alertmanager-main

      namespace: monitoring

      port: web

  image: quay.io/prometheus/prometheus:v2.15.2

  nodeSelector:

    kubernetes.io/os: linux

  podMonitorNamespaceSelector: {}

  podMonitorSelector: {}

  replicas: 2

  retention: 6h  # 本地只保留6h小时的数据

  resources:

    requests:

      memory: 400Mi

  ruleSelector:

    matchLabels:

      prometheus: k8s

      role: alert-rules

  securityContext:

    fsGroup: 2000

    runAsNonRoot: true

    runAsUser: 1000

  serviceAccountName: prometheus-k8s

  serviceMonitorNamespaceSelector: {}

  serviceMonitorSelector: {}

  version: v2.15.2

  additionalScrapeConfigs:  # 添加服务发现的配置

    name: additional-configs

    key: prometheus-additional.yaml

  storage:  # 添加本地数据持久化

    volumeClaimTemplate:

      spec:

        storageClassName: rook-ceph-block

        resources:

          requests:

            storage: 20Gi

  thanos:  #  添加 thanos 配置

    objectStorageConfig:

      key: thanos.yaml

      name: thanos-objectstorage  # 对象存储对应的 secret 资源对象

当然如果最后配置了 Thanos，那么 Grafana 的数据源也需要更改成 Querier 组件的地址，否则就只是本地的数据。

Kubernetes 监控：Prometheus Operator的相关教程结束。