当前位置: 首页 > news >正文

Prometheus 配置 HTTPS 自签名证书抓取目标的具体步骤是什么

news 2026/5/25 15:29:56

配置 Prometheus 通过 HTTPS 抓取自签名证书目标,核心是在 scrape_config 中指定 scheme 为 https 并正确配置 tls_config。推荐生产环境配置 CA 证书验证,测试环境可临时跳过验证。

先说结论:该方案适合内部可信网络环境,需先生成证书并修改抓取配置,最后验收 targets 状态。

  • 适合:自建监控体系或非公网暴露的指标服务
  • 先准备:OpenSSL 工具、目标服务 HTTPS 访问权限、CA 证书文件
  • 验收:Prometheus 控制台 Targets 页面显示 UP 且无证书错误

1. 生成与分发证书

使用 OpenSSL 生成自签名证书。生成后,需将公钥证书(.crt)分发到 Prometheus 服务器,私钥(.key)保留在目标服务侧。

openssl req -x509 -newkey rsa:4096 -nodes -keyout prom.key -out prom.crt -days 365 -subj "/CN=target-service"

注意:若目标服务通过 IP 访问,建议在扩展主题(SAN)中包含 IP 地址,否则可能因域名不匹配导致验证失败。

2. 目标服务配置 HTTPS

确保被监控服务已启用 HTTPS 监听。以 Nginx 为例,加载生成的证书配置如下:

server {listen 443 ssl;server_name target-service;ssl_certificate /etc/nginx/ssl/prom.crt;ssl_certificate_key /etc/nginx/ssl/prom.key;location /metrics {# 暴露指标接口}
}

配置完成后重启 Nginx 并确认端口监听状态:netstat -tlnp | grep 443

3. Prometheus 抓取配置

编辑 prometheus.yml,根据安全需求选择配置方式。

方式一:配置 CA 证书验证(推荐)

将之前生成的 prom.crt 复制到 Prometheus 服务器(如 /etc/prometheus/ca.crt),并在配置中指定:

scrape_configs:- job_name: 'https-target-secure'scheme: httpstls_config:ca_file: '/etc/prometheus/ca.crt'static_configs:- targets: ['target-ip:443']

方式二:跳过证书验证(仅限测试/内网)

若无法配置 CA 信任,可禁用验证,但存在中间人攻击风险:

scrape_configs:- job_name: 'https-target-insecure'scheme: httpstls_config:insecure_skip_verify: truestatic_configs:- targets: ['target-ip:443']

4. 验证与排查

配置检查:重载前使用 promtool 检查配置语法:

promtool check config /etc/prometheus/prometheus.yml

重载配置:发送 SIGHUP 信号或调用 reload 接口:

kill -HUP $(pidof prometheus)
# 或
curl -X POST http://localhost:9090/-/reload

状态验收:登录 Prometheus Web 控制台,进入 Status > Targets 页面。查看对应 job 状态,显示 UP 且 Last Error 为空即为成功。

命令行验证:在 Prometheus 服务器上使用 curl 测试连通性:

# 使用 CA 验证
curl `--cacert` /etc/prometheus/ca.crt https://target-ip:443/metrics
# 或跳过验证测试
curl -k https://target-ip:443/metrics

5. 常见坑与风险

  • 证书路径权限:确保 Prometheus 进程用户有权限读取 ca_file 指定的证书文件。
  • SAN 匹配问题:若 targets 使用 IP 地址,证书必须包含该 IP 的 SAN 记录,否则即使配置 ca_file 也会报错。
  • 证书过期:自签名证书通常有效期较短,需设置监控告警关注证书过期时间。
  • 安全风险:insecure_skip_verify 会禁用证书验证,生产环境严禁使用,仅限内网可信环境临时调试。

参考文档

  • Prometheus Official Docs: tls_config
  • Prometheus Official Docs: scrape_config

原文链接:https://www.zjcp.cc/ask/11418.html

http://www.jsqmd.com/news/836688/

相关文章:

  • AI对生活的影响
  • 性价比高的建筑吊篮出租指南,广安吊篮多少钱 - mypinpai
  • 2026年推荐电机引出线厂家,性价比高的品牌选哪家 - mypinpai
  • 超净工作台采购指南:从参数对比到供应商筛选全拆解 - 品牌推荐大师
  • 第44章 案例38:其他交互方式【后台交互】
  • 上海优质门窗公司实测评测:性能与服务全维度对比 - 奔跑123
  • 干货!古堡风酒吧灯具品牌推荐,欧朗仕实力圈粉 - mypinpai
  • 2026年实测报告:10款常见降AI率工具大汇总(含免费降AI版本) - 降AI实验室
  • 2026年江苏ERP企业有哪些?行业应用与服务解析 - 品牌排行榜
  • 如何评估能控制成本的办公装修公司?格微建设告诉你 - mypinpai
  • 做无糖食品加工,西瓜籽仁哪家好? - mypinpai
  • 上海系统窗企业排行:5家合规品牌实力实测盘点 - 奔跑123
  • 专业液冷板散热器推荐,靠谱的服务商有哪些? - mypinpai
  • 压力管道厂家哪家好?锅炉安装公司实力剖析 - mypinpai
  • 2026年10款降AI工具实测:高效去AI痕迹,让你的论文更具人情味! - 降AI实验室
  • 腾讯云 CVM 网络吞吐量低怎么调整队列大小优化?
  • 母婴家庭除菌洗碗机推荐:慧曼守护宝宝入口安全 - 服务品牌热点
  • 2026 国产滚齿机标杆品牌:玛加达领衔,三大厂技术突围 - 品牌推荐大师
  • 2026年4月地轨焊接机器人供应商推荐,桥梁焊接机器人/工程机械焊接机器人/埋弧焊机器人,地轨焊接机器人直销厂家哪家专业 - 品牌推荐师
  • 靠谱的炸串车生产商哪家好?众客餐车优势在哪? - myqiye
  • 从零手写C++线程池:深入理解生产者-消费者模型与现代C++并发编程
  • 性价比高的代理记账服务推荐,哪家更划算? - myqiye
  • 性价比高的公务员笔试培训,老牌机构还是个性化服务更胜一筹 - myqiye
  • 2026年|Turnitin初稿满屏飘红别慌,3步教你高效降AIGC的定稿SOP - 降AI实验室
  • 热议口碑好的离婚律师怎么选? - mypinpai
  • 2026年4月国内评价好的青石板源头厂家价格表,青石板台阶石/青石板仿古石/青石板/花岗岩石栏杆,青石板实力厂家哪家强 - 品牌推荐师
  • 2026年4月太空舱销售厂家推荐,新型太空舱推荐 - 品牌推荐师
  • 2026年亲测10款最新降AI率工具:免费工具实测真相,建议收藏! - 降AI实验室
  • 离婚律师咨询电话,靠谱的在这里 - mypinpai
  • 汽车制动液压软管,哪家性价比高? - myqiye