kube-prometheus-stack中为node-exporter配置TLS的实践指南

2025-06-07 02:34:53作者：裴麒琰

背景介绍

在Kubernetes监控体系中，Prometheus node-exporter是一个关键的组件，它负责收集节点级别的系统指标。默认情况下，node-exporter会暴露9100端口并使用HTTP协议，这在生产环境中可能存在安全风险。本文将详细介绍如何在kube-prometheus-stack中为node-exporter配置TLS加密通信。

问题分析

许多用户在尝试为node-exporter启用TLS时遇到了配置问题，主要表现是node-exporter无法找到web配置文件。这通常是由于以下原因造成的：

配置文件的挂载路径不正确
配置文件内容格式错误
使用的kube-prometheus-stack版本过旧，不支持相关配置参数

解决方案

1. 准备TLS证书

首先需要准备TLS证书和密钥文件，可以通过以下方式生成自签名证书：

openssl req -x509 -newkey rsa:4096 -keyout tls.key -out tls.crt -days 365 -nodes -subj "/CN=node-exporter"

然后将证书创建为Kubernetes Secret：

kubectl create secret generic node-exporter-tls --from-file=tls.crt --from-file=tls.key -n monitoring

2. 创建web配置文件

创建web-config.yaml文件，内容如下：

tls_server_config:
  cert_file: /etc/node-exporter/certs/tls.crt
  key_file: /etc/node-exporter/certs/tls.key

然后创建ConfigMap：

kubectl create configmap node-exporter-web-config --from-file=web-config.yaml -n monitoring

3. 配置kube-prometheus-stack

在values.yaml中添加以下配置：

prometheus-node-exporter:
  enabled: true
  extraArgs:
    - "--web.config=/etc/node-exporter/web-config.yaml"
  extraVolumes:
    - name: web-config
      configMap:
        name: node-exporter-web-config
    - name: tls-certs
      secret:
        secretName: node-exporter-tls
  extraVolumeMounts:
    - name: web-config
      mountPath: /etc/node-exporter
      readOnly: true
    - name: tls-certs
      mountPath: /etc/node-exporter/certs
      readOnly: true

4. 升级Helm Release

执行Helm升级命令：

helm upgrade prometheus-stack prometheus-community/kube-prometheus-stack -f values.yaml -n monitoring

验证配置

部署完成后，可以通过以下方式验证配置是否生效：

检查node-exporter Pod日志，确认没有报错信息
尝试通过HTTPS访问node-exporter端口
使用curl命令测试TLS连接：

curl -k https://<node-ip>:9100/metrics

注意事项

确保使用的kube-prometheus-stack版本较新，旧版本可能不支持extraVolumes和extraVolumeMounts参数
在生产环境中建议使用正式的CA签名证书而非自签名证书
考虑结合ServiceMonitor配置，确保Prometheus能够正确抓取启用TLS后的node-exporter指标
可以进一步配置双向TLS认证增强安全性

总结

通过本文介绍的方法，可以有效地为kube-prometheus-stack中的node-exporter组件启用TLS加密，提升监控系统的安全性。关键在于正确配置证书文件和web配置文件，并确保它们被正确挂载到容器中。随着安全要求的不断提高，为监控组件启用加密通信已成为生产环境中的最佳实践。

helm-charts

Prometheus community Helm charts

项目地址：https://gitcode.com/gh_mirrors/he/helm-charts

登录后查看全文

项目优选

收起

本项目是CANN提供的神经网络类计算算子库，实现网络在NPU上加速计算。

本项目是CANN提供的transformer类大模型算子库，实现网络在NPU上加速计算。

Ascend Extension for PyTorch

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

461

455

ops-math

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

Claude Code 的开源替代方案。连接任意大模型，编辑代码，运行命令，自动验证 — 全自动执行。用 Rust 构建，极致性能。｜ An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started

openJiuwen agent-studio提供零码、低码可视化开发和工作流编排，模型、知识库、插件等各资源管理能力

本仓库是 Flutter SDK 与 Flutter Engine 的 OpenHarmony 适配版本，由 CPF-Flutter 团队维护。开发者可使用熟悉的 Flutter 技术栈开发 OpenHarmony 应用，3.35.7 及以后的适配版本可基于本仓库源码构建支持 OpenHarmony 的 Flutter Engine。

Dart

1.02 K

265

kube-prometheus-stack中为node-exporter配置TLS的实践指南

背景介绍

问题分析

解决方案

1. 准备TLS证书

2. 创建web配置文件

3. 配置kube-prometheus-stack

4. 升级Helm Release

验证配置

注意事项

总结

热门内容推荐

最新内容推荐

项目优选

kube-prometheus-stack中为node-exporter配置TLS的实践指南

背景介绍

问题分析

解决方案

1. 准备TLS证书

2. 创建web配置文件

3. 配置kube-prometheus-stack

4. 升级Helm Release

验证配置

注意事项

总结

相关内容推荐

热门内容推荐

最新内容推荐

项目优选