Prometheus Operator中实现Kubelet指标采集的技术方案

2025-05-25 12:54:31作者：龚格成

在Kubernetes监控体系中，采集Kubelet指标对于掌握节点和存储卷的健康状态至关重要。本文将深入探讨在Prometheus Operator框架下实现Kubelet指标采集的完整技术方案。

核心需求分析

Kubelet作为节点代理组件，提供了丰富的监控指标数据，特别是关于持久化卷（PV）的使用情况。传统方案需要手动配置以下组件：

专用的ServiceAccount
包含nodes/nodes-proxy资源访问权限的ClusterRole
对应的ClusterRoleBinding
Prometheus的scrape_config配置

技术实现方案

方案一：通过additionalScrapeConfigs扩展

这是当前最直接的实现方式，需要在Prometheus CRD中配置如下内容：

additionalScrapeConfigs:
  - job_name: kubernetes-nodes
    kubernetes_sd_configs:
    - role: node
    scheme: https
    tls_config:
      ca_file: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
      insecure_skip_verify: true
    bearer_token_file: /var/run/secrets/kubernetes.io/serviceaccount/token
    relabel_configs:
    - action: labelmap
      regex: __meta_kubernetes_node_label_(.+)
    - replacement: kubernetes.default.svc:443
      target_label: __address__
    - source_labels: [__meta_kubernetes_node_name]
      regex: (.+)
      replacement: /api/v1/nodes/$1/proxy/metrics
      target_label: __metrics_path__

同时需要为Prometheus的ServiceAccount添加如下权限：

rules:
- apiGroups: [""]
  resources: ["nodes", "nodes/proxy"]
  verbs: ["get"]

方案二：使用ScrapeConfig CRD（推荐）

随着Prometheus Operator的演进，更推荐使用ScrapeConfig自定义资源来实现：

apiVersion: monitoring.coreos.com/v1alpha1
kind: ScrapeConfig
metadata:
  name: kubelet
spec:
  kubernetesSDConfigs:
  - role: node
  scheme: https
  tlsConfig:
    caFile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
    insecureSkipVerify: true
  bearerTokenFile: /var/run/secrets/kubernetes.io/serviceaccount/token
  relabelings:
  - action: labelmap
    regex: __meta_kubernetes_node_label_(.+)
  - replacement: kubernetes.default.svc:443
    targetLabel: __address__
  - sourceLabels: [__meta_kubernetes_node_name]
    regex: (.+)
    replacement: /api/v1/nodes/$1/proxy/metrics
    targetLabel: __metrics_path__