Harvester集群中Prometheus监控数据的外部暴露方案

在基于Harvester构建的虚拟化环境中，Prometheus作为核心监控组件默认部署在cattle-monitoring-system命名空间下。本文将详细介绍如何安全地将集群内Prometheus服务暴露至外部网络，同时提供必要的安全注意事项。

服务发现与访问原理

Harvester通过Rancher Monitoring栈集成了Prometheus实例，其Pod采用StatefulSet形式部署。默认情况下，Prometheus服务通过ClusterIP类型Service提供内部访问，外部直接访问需要经过特殊配置。

外部暴露实现方案

方案一：端口转发临时访问

对于临时性访问需求，可通过kubectl端口转发实现：

kubectl -n cattle-monitoring-system port-forward svc/rancher-monitoring-prometheus 9090:9090

此方法将本地9090端口映射到Prometheus服务，适合快速调试场景，但连接断开后服务即不可用。

方案二：NodePort服务暴露

1. 修改现有Service配置：

kubectl -n cattle-monitoring-system patch svc rancher-monitoring-prometheus -p '{"spec":{"type":"NodePort"}}'

2. 查询分配的节点端口：

kubectl -n cattle-monitoring-system get svc rancher-monitoring-prometheus

此方法会在所有节点开放随机端口（默认范围30000-32767），需配合节点防火墙规则使用。

方案三：Ingress控制器接入

对于生产环境推荐通过Ingress暴露：

1. 确认集群已安装Ingress Controller
2. 创建Ingress资源时需注意：
   • 配置TLS证书保障传输安全
   • 设置BasicAuth或OAuth2代理实现访问控制
   • 添加网络策略限制源IP范围

安全加固建议

1. 访问控制层：

   • 部署反向代理添加认证（如Nginx Basic Auth）
   • 配置网络策略限制访问源IP
   • 启用Prometheus自带的基础认证（需修改Prometheus CRD配置）

2. 传输安全层：

   • 必须启用HTTPS加密传输
   • 定期轮换TLS证书
   • 禁用HTTP/1.0等老旧协议

3. 审计监控层：

   • 启用Prometheus访问日志
   • 配置异常访问告警规则
   • 定期审查访问日志

高级配置技巧

对于需要长期稳定访问的场景，建议：

1. 通过ServiceMonitor自定义抓取配置
2. 配置Prometheus外部标签（external_labels）标识数据来源
3. 对于大规模环境，考虑使用Thanos或VictoriaMetrics实现联邦查询

典型问题排查

当外部无法访问时，可按以下步骤检查：

1. 确认Prometheus Pod状态正常
2. 检查Service Endpoints是否包含正确IP
3. 验证网络策略是否放行流量
4. 检查节点防火墙规则
5. 查看Ingress Controller日志（如采用该方案）

通过以上方案，用户可以灵活安全地将Harvester集群的监控数据提供给外部监控系统使用，同时确保集群安全性不受影响。具体实施方案应根据实际网络环境和安全要求进行选择。