Windows Exporter中HTTP 307重定向问题的分析与解决

问题背景

在使用Windows Exporter（版本0.30.6）时，用户发现通过localhost访问指标接口（http://localhost:9182）可以正常工作，但当使用内部DNS解析的主机名（FQDN）访问时，浏览器会出现307 Internal Redirect重定向到HTTPS的问题。由于未配置HTTPS证书，最终导致访问失败。

技术分析

307重定向分为两种类型：

1. HTTP 307 Temporary Redirect：由服务器返回的标准HTTP重定向
2. HTTP 307 Internal Redirect：由浏览器内部实现的强制重定向机制

在本案例中，观察到的"Internal Redirect"表明问题并非来自Windows Exporter本身，而是浏览器端的强制行为。这种强制重定向通常与HSTS（HTTP严格传输安全）策略有关。

HSTS是一种安全机制，它通过Strict-Transport-Security响应头告知浏览器必须使用HTTPS连接。一旦浏览器接收到这个头部，就会在指定时间内（通过max-age参数）强制对该域名（包括子域名）使用HTTPS。

问题根源

经过排查，发现问题的根本原因在于：

1. 浏览器可能曾经访问过该域名的HTTPS版本并接收到了HSTS头部
2. 或者父域名（如company.com.hk）设置了includeSubdomains的HSTS策略，导致所有子域名都被强制HTTPS
3. Windows Exporter默认不提供HTTPS服务，导致浏览器强制重定向后无法建立连接

解决方案

针对此问题，有以下几种解决方法：

1. 清除浏览器HSTS设置

对于Chrome浏览器，可以通过以下步骤清除HSTS记录：

1. 访问chrome://net-internals/#hsts
2. 在"Delete domain security policies"部分输入域名并删除

2. 配置Windows Exporter使用HTTPS

如果组织要求使用HTTPS，可以为Windows Exporter配置TLS证书：

1. 生成或获取有效的TLS证书
2. 在启动参数中指定证书路径和密钥
3. 确保所有客户端信任该证书

3. 使用非浏览器工具验证

由于Prometheus、vmagent等监控工具不会遵循HSTS策略，可以直接使用这些工具进行抓取验证：

curl -v http://hostname:9182/metrics

4. 检查DNS和网络配置

确保：

1. 主机名能正确解析为服务器IP
2. 防火墙允许9182端口的入站连接
3. Windows Exporter监听所有网络接口（0.0.0.0）

最佳实践建议

1. 监控工具配置：建议监控系统直接使用IP地址或不受HSTS影响的内部域名
2. 环境一致性：确保测试环境和生产环境的访问方式一致
3. 安全权衡：在内部监控场景中，平衡安全需求与运维便利性
4. 文档记录：记录所有自定义路径和端口配置，避免混淆

总结

Windows Exporter的HTTP 307重定向问题通常与浏览器安全策略而非Exporter本身有关。理解HSTS机制和浏览器行为对于解决此类问题至关重要。在内部监控场景中，合理配置安全策略和访问方式可以避免不必要的运维复杂度。