|
|
51CTO旗下网站
|
|
移动端

一文读懂如何在Kubernetes上轻松实现自动化部署Prometheus

关于为什么要用 Prometheus,我这里就不多讲,相关的文章太多了,大家也可以看看官方的说法。本文就讲讲如何自动化的搭建一套基于 Kubernetes 集群的 Prometheus 监控系统。

作者:火眼狻猊来源:运维之美|2019-08-27 20:00

【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

 

简介

Prometheus 是当下火热的监控解决方案,尤其是容器微服务架构,Kubernetes 的首选监控方案。关于为什么要用 Prometheus,我这里就不多讲,相关的文章太多了,大家也可以看看官方的说法。本文就讲讲如何自动化的搭建一套基于 Kubernetes 集群的 Prometheus 监控系统。

我这里使用 Prometheus Operator 以及 helm 工具在 Kubernetes 集群上部署,后面给大家提供一个全自动运维 (http://t.cn/Ai8t4jLw) 的例子参考,这里直接看代码。

关于 helm 的使用不清楚的可以参考这几篇文章:

  •  Helm 入门指南
  •  利用 Helm 快速部署 Ingress
  •  Kubernetes 实操手册-Helm使用 (http://t.cn/Ai85DU9N)

关于什么是 Prometheus Operator 以及为什么要用 Prometheus Operator?

Operator 是以软件的方式定义运维过程,是一系列打包、部署和管理 Kubernetes 应用的方法。简单来说就是将运维过程中的手动操作转换为自动化流程,通过 Kubernetes 的 CRD(Custom Resource Definition)将部署前后的相关操作自动化,同时以参数的方式提供了灵活性。而 Prometheus Operator 是 CoreOS 提供的一整套 Prometheus 的 Operator,方便了 Prometheus 的部署。

下面我们先简单讲讲 Prometheus 的架构。

Prometheus 核心

下图是 Promtheus 官方的架构图

Prometheus Server

Prometheus Server 是监控系统的服务端,服务端通过服务发现的方式,抓取被监控服务的指标,或者通过 pushgateway 的间接抓取,抓取到指标数据后,通过特定的存储引擎进行存储,同时暴露一个 HTTP 服务,提供用 PromQL 来进行数据查询。注意,Prometheus 是定时采样数据,而不是全量数据。

Exporter

Prometheus 需要服务暴露 http 接口,如果服务本身没有,我们不需要改造服务,可以通过 exporter 来间接获取。Exporter 就充当了 Prometheus 采集的目标,而由各个 exporter 去直接获取指标。目前大多数的服务都有现成的 exporter,我们不需要重复造轮子,拿来用即可,如 MySQL,MongoDB 等,可以参考这里。

Push Gateway

Prometheus 采集指标的方式主要有两种,一种是服务端暴露接口(Exporter),由 Prometheus 主动去抓取指标,称为 pull 模式。另一种是服务端主动上报,服务端将指标主动上报至 Push Gateway,Prometheus 再从 Push Gateway 中获取,称为 push 模式。而 Push Gateway 就是 push 模式中重要的中介角色,用于暂存服务端上报的指标,等待 Prometheus 收集。

为什么要有两种模式呢?我们来比较一下这两种模式的特点。

Pull 模式:Prometheus 主动抓取的方式,可以由 Prometheus 服务端控制抓取的频率,简单清晰,控制权在 Prometheus 服务端。通过服务发现机制,可以自动接入新服务,去掉下线的服务,无需任何人工干预。对于各种常见的服务,官方或社区有大量 Exporter 来提供指标采集接口,基本无需开发。是官方推荐的方式。

Push 模式:由服务端主动上报至 Push Gateway,采集最小粒度由服务端决定,等于 Push Gateway 充当了中介的角色,收集各个服务主动上报的指标,然后再由 Prometheus 来采集。但是这样就存在了 Push Gateway 这个性能单点,而且 Push Gateway 也要处理持久化问题,不然宕机也会丢失部分数据。同时需要服务端提供主动上报的功能,可能涉及一些开发改动。不是首选的方式,但是在一些场景下很适用。例如,一些临时性的任务,存在时间可能非常短,如果采用 Pull 模式,可能抓取不到数据。

Alert Manager

Alert Manager 是 Prometheus 的报警组件,当 Prometheus 服务端发现报警时,推送 alert 到 Alert Manager,再由 Alert Manager 发送到通知端,如 Email,Slack,微信,钉钉等。Alert Manager 根据相关规则提供了报警的分组、聚合、抑制、沉默等功能。

Web UI/Grafana

Prometheus 提供了一个简单的 web UI 界面,用于查询数据,查看告警、配置等,官方推荐使用另一个开源项目 grafana 来做指标的可视化展示,制作仪表盘等。

部署

下面详细讲讲如何自动化部署 Promethues,自动化监控以及遇到的一些坑。

部署这块 Prometheus Operator 已经帮我们做的非常好了,我们只需要调整一些参数即可实现部署。我们使用 helm 来部署 Prometheus,只需要一个命令。

  1. helm install --name my-release stable/prometheus-operator 

不过这不可能满足我们的需求,我们需要的不是演示,而是实战。

下面是详细讲解,完整的项目可以参考这里:http://t.cn/Ai8tzUaR 。

我们首先要确定的是如何持久化存储 Prometheus 的指标数据,默认的方式是以文件的方式保存在服务端的磁盘上,但这样不利于服务端的横向扩展以及数据的备份恢复。Prometheus 还提供了其他存储后端的整合,详见这里。目前比较流行的做法是使用 InfluxDB 作为存储后端,InfluxDB 是一款强大的时序数据库,就是为监控指标等时序数据而生的。

首先,我们来部署 InfluxDB,为了持久化 InfluxDB 的数据,我们先创建一个 PVC 来持久化数据。

pvc.yaml

  1. apiVersion: v1  
  2. kind: PersistentVolumeClaim  
  3. metadata:  
  4.   name: influxdb-pvc  
  5.   namespace: monitoring  
  6.   labels:  
  7.     app: influxdb  
  8.     release: influxdb  
  9. spec:  
  10.   accessModes:  
  11.     - ReadWriteOnce  
  12.   storageClassName: monitor-ebs  # 选择合适的存储类  
  13.   resources:  
  14.     requests:  
  15.       storage: 200Gi  # 设置合适的存储空间 

然后我们创建 InfluxDB 的配置文件

influxdb.yaml

  1. # 持久化存储配置  
  2. persistence:  
  3.   enabled: true  
  4.   useExisting: true  
  5.   name: "influxdb-pvc"  # 使用我们刚才创建的 PVC  
  6.   accessMode: "ReadWriteOnce"  
  7.   size: 200Gi  
  8. # 创建 Prometheus 的数据库  
  9. env:  
  10.   - name: INFLUXDB_DB  
  11.     value: "prometheus"  
  12. # influxdb 配置  
  13. config:  
  14.   data:  
  15.     # 这两个配置默认限制了数据的上限,建议设置为 0 变成无限制,不然在达到上限后插入数据会返回错误  
  16.     max_series_per_database: 0  
  17.     max_values_per_tag: 0  
  18.   http:  
  19.     enabled: true  # 启动 http  
  20. initScripts:  
  21.   enabled: true  
  22.   scripts:  
  23.     # 设置数据保留策略,默认是永不失效,需要人工清理  
  24.     # 保留 180 天数据  
  25.     retention.iql: |+  
  26.       CREATE RETENTION POLICY "default_retention_policy" on "prometheus" DURATION 180d REPLICATION 1 DEFAULT 

InfluxDB 的全部配置可以参考文档,我讲一下上面的两个主要的配置。

max-series-per-database

内存中每个数据库最大的序列数量,默认是 1000000,设置为 0 改成无限制。如果新来的数据增加了序列数量并超过了这个上限,那么数据就会被丢弃就并返回一个 500 错误:

  1. {"error":"max series per database exceeded: <series>"} 

max-values-per-tag

内存中每个标签的最大数据量,默认是 100000,设置为 0 改成无限制。如果新来的数据超过了这个限制,也会被丢弃并返回写入失败的错误。

我们使用如下命令来部署 InfluxDB:

  1. helm install --name=influxdb --namespace=monitoring -f influxdb.yaml stable/influxdb 

存储后端部署成功后,我们就来部署 Prometheus-operator 了,首先创建如下的配置文件:

prometheus.yaml

  1. # prometheus 服务端  
  2. prometheus:  
  3.   prometheusSpec:  
  4.     # 远端存储配置  
  5.     remoteWrite:  
  6.     - url: "http://influxdb:8086/api/v1/prom/write?db=prometheus 
  7.     remoteRead:  
  8.     - url: "http://influxdb:8086/api/v1/prom/read?db=prometheus 
  9.   # ingress 配置,暴露 web 界面  
  10.   ingress:  
  11.     enabled: true  
  12.     annotations:  
  13.       kubernetes.io/ingress.class: traefik  # ingress class  
  14.     hosts:  
  15.     - "prometheus.mydomain.io"  # 配置域名  
  16. alertmanager:  
  17.   # alertmanager 配置  
  18.   config:  
  19.     global:  
  20.       # SMTP 配置  
  21.       smtp_smarthost: 'xxx'  
  22.       smtp_from: 'xxx' 
  23.        smtp_auth_username: 'xxx'  
  24.       smtp_auth_password: 'xxx'  
  25.       # 全局 opsgenie 配置  
  26.       # opsgenie_api_key: ""  
  27.     # 报警路由  
  28.     route:  
  29.       receiver: 'monitoring-warning' 
  30.        group_by: ['alertname']  
  31.       group_wait: 30s  
  32.       group_interval: 3m  
  33.       repeat_interval: 8h  
  34.       routes:  
  35.       - match:  
  36.           severity: critical  
  37.         receiver: monitoring-critical  
  38.         group_by: ['alertname']  
  39.       - match:  
  40.           severity: warning  
  41.         receiver: monitoring-warning  
  42.         group_by: ['alertname']  
  43.     # 报警抑制规则  
  44.     inhibit_rules:  
  45.     - source_match:  
  46.         severity: 'critical'  
  47.       target_match:  
  48.         severity: 'warning'  
  49.       # 抑制相同的报警  
  50.       equal: ['alertname']  
  51.     # 接收者配置  
  52.     receivers:  
  53.     - name: 'monitoring-critical'  
  54.       email_configs:  
  55.       - to: 'monitor@mydomain.com'  
  56.       # 发送到钉钉的 webhook,需要部署一个转发服务,详见项目代码  
  57.       webhook_configs:  
  58.       - send_resolved: true  
  59.         url: http://prometheus-webhook-dingtalk/dingtalk/monitoring/send  
  60.     - name: 'monitoring-warning'  
  61.       email_configs:  
  62.       - to: 'monitor@mydomain.com'  
  63.   alertmanagerSpec:  
  64.     # alertmanager 存储配置,alertmanager 会以文件形式存储报警静默等配置  
  65.     storage:  
  66.       volumeClaimTemplate:  
  67.         spec:  
  68.           accessModes:  
  69.           - ReadWriteOnce  
  70.           storageClassName: monitor-ebs  # 选择合适的存储类  
  71.           resources:  
  72.             requests:  
  73.               storage: 20Gi  # 选择合适的大小  
  74.   # ingress 配置,暴露 alert 的界面  
  75.   ingress:  
  76.     enabled: true  
  77.     annotations:  
  78.       kubernetes.io/ingress.class: traefik  # ingress class  
  79.     hosts:  
  80.     - "alert.mydomain.io"  # 配置域名  
  81. # grafana 配置  
  82. grafana:  
  83.   replicas: 1  
  84.   adminPassword: "admin"  # 管理员账户 admin,密码 admin  
  85.   env:  
  86.     # GF_SERVER_DOMAIN: ""  # 域名  
  87.     GF_SERVER_ROOT_URL: "%(protocol)s://%(domain)s/"  
  88.     # GF_DATABASE_URL: "mysql://user:secret@host:port/database"  # SQL 数据库  
  89.   # ingress 配置,暴露界面  
  90.   ingress:  
  91.     enabled: true  
  92.     annotations:  
  93.       kubernetes.io/ingress.class: traefik  # ingress class  
  94.     hosts:  
  95.     - "grafana.mydomain.io"  # 设置域名  
  96. # exporter 设置,自建集群需要开启,如果是云服务商托管集群,则获取不到这些信息,可以关闭  
  97. kubeControllerManager:  
  98.   enabled: true  
  99. kubeEtcd:  
  100.   enabled: true  
  101. kubeScheduler:  
  102.   enabled: true 

然后我们使用如下命令来部署 Prometheus-Operator。

  1. helm install --name=prometheus --namespace=monitoring -f prometheus.yam stable/prometheus-operator 

如果需要 Prometheus-Pushgateway 的话,创建如下配置:

prometheus-pushgateway.yaml

  1. replicaCount: 1  
  2. # 自动在 Prometheus 中添加 target  
  3. serviceMonitor:  
  4.   enabled: true  
  5.   namespace: monitoring  
  6.   selector: 
  7.      app: prometheus-pushgateway  
  8.     release: prometheus  
  9. # ingress 配置,暴露界面  
  10. ingress:  
  11.   enabled: true  
  12.   annotations:  
  13.     kubernetes.io/ingress.class: traefik  # ingress class  
  14.   hosts:  
  15.   - "pushgateway.mydomain.io"  # 设置域名 

同样的方式部署:

  1. helm install --name=prometheus-pushgateway --namespace=monitoring -f prometheus-pushgateway.yaml stable/prometheus-pushgateway 

这样 Prometheus 的核心组件都部署完成了,查看集群中的 Pod,有类似如下图所示的 Pod。

这里有个注意点,如果通过 Prometheus 收集 kube-proxy 的指标,需要 kube-proxy 开通访问,默认 kube-proxy 只允许本机访问。

需要修改 kube-proxy 的 ConfigMap 中的 metricsBindAddress 值为 0.0.0.0:10249。

  1. kubectl -n kube-system edit cm kube-proxy 

会看到如下内容,将 metricsBindAddress: 127.0.0.1:10249 这行修改为 metricsBindAddress: 0.0.0.0:10249 保存即可。

  1. apiVersion: v1  
  2. data:  
  3.   config.conf: |-  
  4.     apiVersion: kubeproxy.config.k8s.io/v1alpha1  
  5.     kind: KubeProxyConfiguration  
  6.     # ...  
  7.     # metricsBindAddress: 127.0.0.1:10249  
  8.     metricsBindAddress: 0.0.0.0:10249  
  9.     # ...  
  10.   kubeconfig.conf: |-  
  11.     # ...  
  12. kind: ConfigMap  
  13. metadata:  
  14.   labels:  
  15.     app: kube-proxy  
  16.   name: kube-proxy  
  17.   namespace: kube-system 

然后删除 kube-proxy 的 Pod,让它重启即可看到已正常抓取。

应用

至此,Prometheus 的服务端就全部部署完成了。接下来就是根据实际业务部署相应的 Exporter,ServiceMonitor 和 PrometheusRule 了。官方和社区有大量现成的 Exporters 可供使用,如果有特殊需求的也可以参考这里自行开发。

接下来我们讲讲如何快速集成 Prometheus 监控和报警。

我们之前提到过 Operator 通过 CRD 的方式提供了很多部署方面的自动化,Prometheus-Operator 就提供了四个 CRD,分别是:

  •  Prometheus,定义了 Prometheus 服务端,用来生成服务端控制器,保证了服务端的正常运行,我们只需要一个此 CRD 的实例
  •  Alertmanager,定义了 AlertManager 服务,用来生成服务端控制器,保证了服务的正常运行,我们也只需要一个此 CRD 的实例
  •  ServiceMonitor,定义了 Prometheus 抓取指标的目标,就是 Prometheus 界面 targets 页面看到的内容,此 CRD 帮助我们创建目标的配置
  •  PrometheusRule,定义了 Prometheus 规则,就是 Prometheus 界面 Rules 页面看到的内容,此 CRD 帮助我们创建规则的配置

Prometheus 和 Alertmanager CRD 主要是之前部署阶段关注的,在服务应用阶段,我们主要是创建各个 ServiceMonitor 和 PrometheusRule 来配置服务端。

Prometheus-Operator 默认会帮我们注册相关组件的抓取目标,如下图所示:

我们要定义其他的抓取目标,首先来创建了一个 ServiceMonitor 抓取我们部署的 InfluxDB 的指标:

  1. apiVersion: monitoring.coreos.com/v1  
  2. kind: ServiceMonitor  
  3. metadata:  
  4.   name: influxdb-scrape-targets  
  5.   labels:  
  6.     app.kubernetes.io/name: scrape-targets  
  7.     app.kubernetes.io/instance: influxdb-target  
  8.     release: prometheus  
  9. spec:  
  10.   # 用标签选择器来选择相应的 Pod  
  11.   selector:  
  12.     matchLabels:  
  13.       app: influxdb  
  14.       release: influxdb  
  15.   # 选择命名空间  
  16.   namespaceSelector:  
  17.     matchNames:  
  18.     - monitoring  
  19.   # 定义抓取的配置,如端口、频率等  
  20.   endpoints:  
  21.     - interval: 15s  
  22.       port: api 

我们在项目中创建了一个 Chart 模版(在 charts/scrape-targets/ 目录),能够快速的创建 ServiceMonitor,提供下面的配置文件:

influxdb.yaml

  1. selector:  
  2.   matchLabels:  
  3.     app: influxdb  
  4.     release: influxdb  
  5. namespaceSelector:  
  6.   matchNames:  
  7.     - monitoring  
  8. endpoints:  
  9.   - port: api  
  10.     interval: 15s 

然后使用 helm 安装:

  1. helm install --name influxdb-target --namespace monitoring -f influxdb.yaml charts/scrape-targets/ 

创建完成后无需重启 Prometheus 服务端,服务端根据标签自动载入,过一会可以在界面上看到:

Prometheus-Operator 同样会帮我们注册许多相关的规则,如下图所示:

配置我们自己的 PrometheusRule 同样很简单,我们用如下配置生成报警规则,如果 5 分钟内的 HTTP 500 错误大于 5 则报警。

  1. apiVersion: monitoring.coreos.com/v1  
  2. kind: PrometheusRule  
  3. metadata:  
  4.   name: request-rules  
  5.   labels:  
  6.     app.kubernetes.io/name: rules  
  7.     app.kubernetes.io/instance: request  
  8.     app: prometheus-operator  
  9.     release: prometheus  
  10. spec:  
  11.   groups:  
  12.   - name: request-rules.rules  
  13.     rules:  
  14.       - alert: RequestStatusCode500  
  15.         annotations: 
  16.            summary: http status code 500 is high for `{{$labels.service}}`  
  17.         expr: http_request_total{statuscode="500"> 5  
  18.         for: 5m  
  19.         labels:  
  20.           severity: critical 

也可以用我们项目中的 Chart 模版(在 charts/rules/ 目录)来快速配置。

request.yaml

  1. groups:  
  2.   - rules:  
  3.     - alert: RequestStatusCode500  
  4.       expr: http_request_total{statuscode="500"> 5  
  5.       for: "5m"  
  6.       labels:  
  7.         severity: critical  
  8.       annotations:  
  9.         summary: http status code 500 is high for `{{$labels.service}}` 

然后 helm 安装

  1. helm install --name request --namespace monitoring -f request.yaml charts/rules/ 

关于怎么写规则配置,可以参考官方的文档和 PromQL 语法。

以上的操作还是手动化的,如果要全自动化的话,可以参考我的项目,定义好配置文件,写好自动化脚本,接入 CI/CD 工作流,即可让监控系统实现自动部署、自动配置。

【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

这就是5G

这就是5G

5G那些事儿
共15章 | armmay

111人订阅学习

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

371人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

755人订阅学习

读 书 +更多

程序员面试宝典

本书取材于各大IT公司历年面试真题(笔试、口试、电话面试、英语面试,以及逻辑测试和智商测试)。详细分析了应聘程序员(含网络、测试等...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微