Kubernetes环境下Prometheus动态服务发现与监控最佳实践

你好！我完全理解你们团队在从物理机+Zookeeper传统架构迁移到Kubernetes时遇到的困惑，特别是服务注册/发现和监控逻辑的巨大变化。这确实是一个常见的转型挑战。从Zabbix+自定义脚本转向Prometheus，面对Kubernetes动态变化的Pod，如何让Prometheus“感知”到它们，是云原生监控的核心问题之一。

在传统架构中，Zabbix通常通过Agent或SNMP轮询固定IP或主机名，配合自定义脚本来收集指标。服务发现可能依赖于Zookeeper维护的服务列表，而监控则需要手动或通过配置管理工具更新Zabbix的监控项。然而，Kubernetes环境下的Pod生命周期短、IP地址动态变化，这种传统模式将寸步难行。Prometheus的强大之处在于其原生的Kubernetes服务发现能力。

Prometheus Kubernetes服务发现（Kubernetes Service Discovery, K8s SD）

Prometheus通过直接与Kubernetes API Server交互，动态地发现监控目标（targets）。它不需要额外的Agent或配置，Kubernetes API Server就是它的服务注册中心。Prometheus支持多种kubernetes_sd_config角色，每种角色发现不同类型的Kubernetes资源：

1. pod: 发现所有Pod。
2. service: 发现所有Service。
3. endpoints: 发现所有Service关联的Endpoint（即Pod的IP和端口）。
4. node: 发现所有Node。
5. ingress: 发现所有Ingress。

对于应用级的监控，我们最常使用的是pod和endpoints角色。endpoints角色特别有用，因为它直接提供了可被刮削（scrape）的IP和端口信息。

配置Prometheus实现动态服务发现

以下是一个典型的prometheus.yml配置片段，展示了如何让Prometheus动态发现Kubernetes中的Pod：

scrape_configs:
  - job_name: 'kubernetes-pods'
    kubernetes_sd_configs:
      - role: pod # 发现所有Pod
    relabel_configs:
      # 过滤只包含特定注解的Pod，例如：`prometheus.io/scrape: "true"`
      - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scrape]
        action: keep
        regex: true
      # 获取Pod的端口，例如：`prometheus.io/port: "8080"`
      - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_port]
        action: replace
        regex: (\d+)
        target_label: __address__
        replacement: '$1'
        # Pod的IP地址作为原始target，然后替换端口
        # 注意：这里需要确保Prometheus能通过Pod IP直接访问Pod
      - source_labels: [__address__, __meta_kubernetes_pod_annotation_prometheus_io_port]
        separator: ":"
        regex: (.+):(\d+)
        target_label: __address__
        replacement: '$1:$2'
      # 获取metrics路径，例如：`prometheus.io/path: "/metrics"`
      - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_path]
        action: replace
        target_label: __metrics_path__
        regex: (.+)
      # 从Pod标签或注解中提取自定义标签
      - source_labels: [__meta_kubernetes_pod_label_app]
        action: replace
        target_label: app
      - source_labels: [__meta_kubernetes_namespace]
        action: replace
        target_label: namespace
      - source_labels: [__meta_kubernetes_pod_name]
        action: replace
        target_label: pod_name

关键概念解释：

• kubernetes_sd_configs: 声明Prometheus将使用Kubernetes作为服务发现机制。role: pod 表示它会发现所有的Pod。
• relabel_configs: 这是Prometheus实现动态、灵活监控的核心。当Prometheus发现一个目标时，它会生成一系列元数据标签（以__meta_kubernetes_开头）。relabel_configs允许你根据这些元数据标签进行过滤（action: keep/drop）、修改（action: replace）、提取新的标签，甚至重写目标地址。
  • 注解（Annotations）的力量：在上述示例中，我们大量使用了Pod的注解来控制Prometheus的行为。例如，通过在Pod定义中添加：

    annotations:
      prometheus.io/scrape: "true" # 告诉Prometheus刮削这个Pod
      prometheus.io/port: "8080"   # 指明metrics端口
      prometheus.io/path: "/metrics" # 指明metrics路径
    

    Prometheus就可以根据这些注解来决定是否刮削Pod、刮削哪个端口和路径。这使得业务Pod无需修改Prometheus配置，就能自行声明其监控能力。

最佳实践

1. 标准化Metrics暴露:

   • /metrics路径: 建议所有应用都将其Prometheus metrics暴露在HTTP服务的/metrics路径下。
   • Metrics端口: 定义一个标准端口（如8080或9100），或者通过Pod注解明确指定。
   • Prometheus客户端库: 使用官方提供的客户端库（如Go, Java, Python等）在应用中集成metrics暴露。

2. 使用Prometheus Operator和ServiceMonitor:

   • Prometheus Operator: 这是在Kubernetes上部署和管理Prometheus及其相关组件（如Alertmanager、kube-state-metrics）的官方推荐方式。它引入了自定义资源定义（CRD）。
   • ServiceMonitor CRD: 这是Prometheus Operator提供的核心CRD之一。它允许你以声明式的方式定义哪些Service或Endpoint应该被Prometheus刮削。

     apiVersion: monitoring.coreos.com/v1
     kind: ServiceMonitor
     metadata:
       name: my-app-monitor
       labels:
         app: my-app
     spec:
       selector:
         matchLabels:
           app: my-app # 匹配具有 app: my-app 标签的Service
       endpoints:
       - port: http-metrics # Service中定义的端口名称
         path: /metrics
         interval: 30s
         # scheme: http # 默认http
     

     这种方式的优点是：
     • 声明式: 将监控配置与服务定义紧密结合。
     • 自动化: Operator会根据ServiceMonitor自动更新Prometheus的配置，无需手动修改prometheus.yml。
     • 权限隔离: 开发者可以创建ServiceMonitor来声明其服务的监控需求，而无需直接访问Prometheus配置。

3. 监控K8s集群组件:

   • kube-state-metrics: 暴露Kubernetes API对象的metrics，如Pod、Deployment、Node、Service的状态信息。
   • node-exporter: 在每个Node上运行，暴露Node的操作系统和硬件指标（CPU、内存、磁盘、网络等）。
   • cAdvisor: Kubernetes内置，用于监控容器的资源使用情况。

4. 考虑网络策略和安全:

   • 确保Prometheus Pod具有访问Kubernetes API Server的权限。
   • 确保Prometheus Pod能够通过网络策略访问到它需要刮削的Pod（通常在同一个namespace或特定的网络策略允许下）。

5. Sidecar模式:
   对于一些无法直接暴露/metrics的应用（例如，遗留应用），可以考虑使用Sidecar容器。Sidecar负责收集主应用日志或指标，并将其转换为Prometheus可刮削的格式暴露出来。

总结

从Zabbix到Prometheus，从物理机到Kubernetes，最大的转变在于：

• 服务发现：从手动维护或Zookeeper的半自动化模式，转向Kubernetes API Server驱动的全自动发现。
• 监控目标：从固定的主机，变为动态变化的Pod。
• 配置管理：从Zabbix UI或Ansible/Saltstack管理，转向声明式的Kubernetes资源（Deployment、Service、ServiceMonitor等）。

Prometheus的Kubernetes服务发现机制，尤其是结合relabel_configs和ServiceMonitor（如果使用Prometheus Operator），是解决动态Pod监控问题的黄金搭档。它不仅简化了监控配置，更重要的是，它将监控配置融入了云原生的声明式工作流中，实现了真正的自动化和弹性。

希望这些实践能帮助你们团队顺利完成迁移！