日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

forever不重启 node_运维监控Prometheus,部署安全的node_exporter监控主机

發布時間:2023/12/2 编程问答 52 豆豆
生活随笔 收集整理的這篇文章主要介紹了 forever不重启 node_运维监控Prometheus,部署安全的node_exporter监控主机 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

簡介

prometheus監控系統的時候,是使用pull的方式來獲取監控數據,需要被監控端監聽對應的端口,prometheus從這些端口服務中拉取對應的數據。

node_exporter安全性討論

node_exporter是收集操作系統的指標的一個程序。例如CPU,內存,磁盤和網絡等信息。

之前版本的node_exporter沒有提供驗證的功能,直接訪問就可以獲取到對應的監控指標。

這樣子存在一定的安全風險,雖然內網隔離相對安全。

可以通過主機的防火墻來限制端口訪問,但是這樣子,如果服務端遷移之后,就需要一臺臺去修改對應的策略,不方便批量自動化部署。

如果node_exporter能加上驗證和傳輸加密,只要監聽端口對內網網段開放,我們就可以隨意遷移我們的Prometheus服務了。

給node_exporter添加Basic Auth

為node_exporter加上基礎的密碼驗證,提升一定的安全性。

生成密碼

可以使用htpasswd這個命令生成對應的密碼串

htpasswd ?-nBC 12 opcaiNew password: Re-type new password: opcai:$2y$12$B2gIBNeB1XL1Q614RQkQS.N6yAeIZkqJk80QdmODrWNb7WuLUF/vG

配置node_exporter

node_exporter啟動的時候需要指定配置文件可以使用--web.config這個參數指定配置文件

vim web_config.yml

添加上基礎驗證

basic_auth_users: opcai: $2y$12$B2gIBNeB1XL1Q614RQkQS.N6yAeIZkqJk80QdmODrWNb7WuLUF/vG

這里的opcai就是用戶名,后面的值就是加密后的密碼,用戶名: 加密密碼,注意冒號中間需要有一個空格。

啟動服務

啟動的時候指定配置文件的路徑

./node_exporter --web.config=web_config.yml

然后訪問默認端口9100的時候,瀏覽器就會提示驗證,輸入對應的用戶名和密碼就可以獲取到指標數據。

配置prometheus自動驗證node_exporter

在prometheus.yml加入job

- job_name: 'auth_node_exporter' ? basic_auth: ? ? username: opcai ? ? password: admin ? ?# metrics_path defaults to '/metrics' ? ?# scheme defaults to 'http'. ? static_configs: ? - targets: ['192.168.10.9:9100']

重載prometheus服務會自動去獲取數據了。

基礎的驗證只能是防君子不能防小人,只要抓包就可以獲取對應的密碼串了。

加強安全性,就需要加上tls

生成證書

直接使用openssl生成證書就可以使用了。

openssl req ?-x509 ? -newkey rsa:4096 ?-nodes ?-keyout prometheus.key ?-out prometheus.crt

node_exporter配置證書

同樣的配置到web_config.yml文件里面即可

tls_server_config: cert_file: prometheus.crt key_file: prometheus.keybasic_auth_users: opcai: $2y$12$B2gIBNeB1XL1Q614RQkQS.N6yAeIZkqJk80QdmODrWNb7WuLUF/vG

重啟node_exporter,然后需要使用https訪問了

配置prometheus配置https

- job_name: 'auth_node_exporter' ? scheme: https ? tls_config: ? ? insecure_skip_verify: ?true ? basic_auth: ? ? username: opcai ? ? password: admin? ? ?# metrics_path defaults to '/metrics' ? ?# scheme defaults to 'http'.? ? static_configs: ? - targets: ['192.168.100.2:9100']

由于證書不是合法的,要跳過證書的要驗證insecure_skip_verify。

總結

簡單的配置就可以讓prometheus加上驗證和tls,減少監控系統的安全風險。

安全無小事,大家需重視。

總結

以上是生活随笔為你收集整理的forever不重启 node_运维监控Prometheus,部署安全的node_exporter监控主机的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。