Prometheus Helm Chart中启用Basic Auth后部分指标失效问题分析

问题现象

在使用Prometheus Helm Chart部署监控系统时，当配置了basic_auth_users进行端点保护后，发现部分内置指标如prometheus_build_info无法正常工作，而其他如kube相关指标仍能正常采集。这是一个典型的认证配置不完整导致的问题。

问题根源

这个问题的本质在于Prometheus的自监控配置没有同步更新认证信息。当启用Basic Auth保护后，Prometheus服务端需要认证才能访问，但Prometheus自身的scrape配置中缺少对应的basic_auth凭证，导致自监控失败。

技术原理

Prometheus的自监控是通过以下机制实现的：

1. 内置的scrape配置会自动采集Prometheus自身的/metrics端点
2. 这些指标包括prometheus_build_info、prometheus_target_等重要的运行状态指标
3. 当服务端启用认证后，所有端点访问都需要提供凭证
4. 如果scrape配置没有相应更新，就会导致401未授权错误

解决方案

要解决这个问题，需要在两个地方进行配置：

1. 服务端认证配置：通过web.yml配置Basic Auth用户

basic_auth_users:
  username: password_hash

2. 客户端采集配置：更新prometheus.yml中的scrape配置，添加basic_auth信息

scrape_configs:
  - job_name: prometheus
    basic_auth:
      username: username
      password: plaintext_password

Helm Chart配置建议

对于使用Helm Chart部署的情况，建议通过values.yaml进行完整配置：

server:
  extraScrapeConfigs:
    - job_name: prometheus
      basic_auth:
        username: "monitoring_user"
        password: "secure_password"
  extraConfigmapMounts:
    - name: web-config
      mountPath: /etc/prometheus/web.yml
      subPath: web.yml
      configMap: web-config
      readOnly: true

验证方法

部署后可以通过以下方式验证：

1. 检查Prometheus的Targets页面，确认prometheus job的状态
2. 直接查询prometheus_build_info指标
3. 检查Prometheus日志中是否有401错误

最佳实践

1. 始终确保认证配置的完整性，包括服务端和客户端
2. 使用Secret存储密码等敏感信息
3. 考虑使用更安全的认证方式如OAuth2
4. 定期审计监控系统的访问权限

通过以上配置和验证步骤，可以确保在启用Basic Auth后，Prometheus的所有指标都能正常采集和访问。