Prometheus MySQL Exporter 配置 SSL 连接的最佳实践

在 Kubernetes 环境中使用 Prometheus MySQL Exporter 监控 MySQL 数据库时，确保连接的安全性至关重要。本文将详细介绍如何为 MySQL Exporter 配置 SSL/TLS 连接，包括证书验证和跳过验证的两种方案。

方案一：跳过证书验证（不推荐生产环境）

对于测试环境或快速验证场景，可以临时禁用证书验证。这通过添加 --tls.insecure-skip-verify 参数实现：

config:
  extraArgs:
    - "--tls.insecure-skip-verify"

注意：此方法会降低安全性，不建议在生产环境中使用。

方案二：完整 SSL 证书验证（推荐）

1. 准备 CA 证书

首先需要获取 MySQL 服务器的 CA 证书，并将其存储在 Kubernetes ConfigMap 中：

kubectl create configmap mysqlca --from-file=ca.crt=/path/to/ca.crt

2. 配置 Exporter

在 Helm values.yaml 文件中进行以下配置：

mysql:
  additionalConfig:
    - "ssl-ca=/tls/private/ca.crt"

extraVolumes:
  - name: mysqlca
    configMap:
      name: mysqlca

extraVolumeMounts:
  - name: mysqlca
    mountPath: /tls/private
    readOnly: true

3. 配置说明

• ssl-ca 参数指定了 CA 证书的容器内路径
• extraVolumes 将 ConfigMap 挂载为卷
• extraVolumeMounts 将卷挂载到指定路径

进阶配置

如果需要更完整的 SSL 配置，还可以添加以下参数：

mysql:
  additionalConfig:
    - "ssl-ca=/tls/private/ca.crt"
    - "ssl-cert=/tls/private/client.crt"
    - "ssl-key=/tls/private/client.key"

对应的证书文件也需要通过类似方式挂载到容器中。

安全建议

1. 始终在生产环境使用完整证书验证
2. 定期轮换证书
3. 限制证书文件的访问权限
4. 考虑使用 Kubernetes Secrets 而非 ConfigMap 存储敏感证书

通过以上配置，可以确保 Prometheus MySQL Exporter 与 MySQL 服务器之间的通信是加密且经过验证的，满足企业级安全要求。