使用 kube-rbac-proxy 与 kube-state-metrics 和 prometheus 配置

42次阅读

问题描述

想要使用 kube-rbac-proxy 对 kube-state-metrics 进行访问控制，并且希望通过 token 进行认证。用户已经知道需要通过设置 kubeRBACProxy.enabled=true 来启用 kube-rbac-proxy。现在问题是，如何配置 prometheus，以便它能够传递正确的 token 给 kube-rbac-proxy，以便从 kube-state-metrics 进行抓取。

解决方案

请注意以下操作可能因版本差异而有所不同。在进行配置之前，请确保备份配置文件以防止意外情况。

步骤1：为 kube-rbac-proxy 配置角色和角色绑定

首先，您需要为 kube-rbac-proxy 配置适当的角色和角色绑定，以便它具有访问 kube-state-metrics 的权限。这将确保 kube-rbac-proxy 在执行抓取操作时具有适当的权限。
您可以通过创建 RBAC 角色和角色绑定来实现。以下是一个示例 RBAC 配置，您可以根据您的需求进行修改：

# rbac-config.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: kube-rbac-proxy-role
rules:
  - apiGroups: [""]
    resources: ["services/proxy"]
    verbs: ["get", "list"]
    resourceNames: ["kube-state-metrics:8080"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kube-rbac-proxy-role-binding
subjects:
  - kind: ServiceAccount
    name: default # Change to your desired ServiceAccount name
    namespace: default # Change to the appropriate namespace
roleRef:
  kind: ClusterRole
  name: kube-rbac-proxy-role
  apiGroup: rbac.authorization.k8s.io

在上面的示例中，我们定义了一个名为 kube-rbac-proxy-role 的 ClusterRole，允许它在特定名称和端口的 kube-state-metrics 服务上执行 get 和 list 操作。然后，我们创建了一个 ClusterRoleBinding，将该 ClusterRole 绑定到默认的 ServiceAccount（您可以根据需要进行更改）。

步骤2：为 prometheus 配置认证和抓取配置

接下来，您需要为 prometheus 配置认证，并指定要抓取的目标。在这里，您将配置 prometheus 以使用 token 进行认证，并从 kube-state-metrics 抓取指标。
以下是一个示例 prometheus 配置：

# prometheus-config.yaml

global:
  scrape_interval: 15s

scrape_configs:
  - job_name: 'kube-state-metrics'
    static_configs:
      - targets: ['kube-rbac-proxy:8181'] # Change to your kube-rbac-proxy service address
    scheme: https
    bearer_token: "YOUR_TOKEN_HERE" # Replace with the actual token

在上面的示例中，我们配置了一个名为 kube-state-metrics 的作业，指定了 kube-rbac-proxy 服务的地址作为抓取目标。我们还将抓取协议设置为 HTTPS，并使用 bearer token 进行认证。请将 YOUR_TOKEN_HERE 替换为实际的 token。