prometheuscommunity/pushprox Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
prometheuscommunity/pushproxprometheuscommunity
Prometheus社区的pushprox镜像,作为Prometheus监控代理,支持无法直接访问的目标主动推送指标,解决网络隔离环境下的监控数据采集问题。
3 次收藏下载次数: 0状态:社区镜像维护者:prometheuscommunity仓库类型:镜像最近更新:1 个月前
PushProx 镜像文档
1. 概述
1.1 镜像概述和主要用途
Prometheus PushProx 是一个客户端-代理工具,旨在解决 Prometheus 无法直接访问位于 NAT 或其他隔离网络拓扑中目标的问题,同时保持 Prometheus 原生的拉取(pull)模型。该工具由代理(Proxy)和客户端(Client)两部分组成,通过代理中转实现 Prometheus 对隔离网络中目标的指标采集。
2. 核心功能与特性
- NAT 与网络隔离穿越:支持 Prometheus 监控位于 NAT 后或无法直接访问网络环境中的目标
- 保持拉取模型:不改变 Prometheus 基于拉取的设计哲学,符合其原生工作流
- 客户端自动注册:客户端主动向代理注册,无需手动配置目标节点
- 透明 HTTP 头传递:支持压缩、Accept-Encoding 等 HTTP 特性,由 Prometheus 控制
- 服务发现集成:提供
/clients端点,返回符合file_sd_configs格式的客户端列表,支持动态发现
3. 使用场景与适用范围
- 跨 NAT 监控:目标主机位于家庭网络、边缘设备等 NAT 环境后,Prometheus 无法直接访问
- 隔离网络环境:目标位于防火墙隔离的网络分区,仅允许客户端主动连接外部代理
- 动态目标管理:需要自动发现并监控动态注册的客户端主机
- 原生拉取模型兼容:不适用于推送模式(如 Pushgateway),需保持 Prometheus 拉取机制的场景
4. 快速开始
4.1 前提条件
- Docker 环境(用于运行 PushProx 镜像)
- Prometheus 服务器(v2.0+ 推荐)
- 网络连通性:代理需同时被 Prometheus 和客户端访问,客户端需能连接代理
4.2 获取镜像
拉取官方 Docker 镜像:
bashdocker pull prometheuscommunity/pushprox
4.3 运行代理(Proxy)
代理需部署在 Prometheus 和客户端均能访问的网络位置,默认监听 8080 端口。
Docker 运行命令:
bashdocker run -d \ --name pushprox-proxy \ -p 8080:8080 \ --restart unless-stopped \ prometheuscommunity/pushprox proxy \ --listen-address=:8080 # 可选,默认监听 :8080
4.4 运行客户端(Client)
客户端部署在目标主机上,需指向代理 URL,并可指定客户端标识、轮询间隔等参数。
基本 Docker 运行命令:
bashdocker run -d \ --name pushprox-client \ --restart unless-stopped \ prometheuscommunity/pushprox client \ --proxy-url=[***] \ # 代理服务地址(必填) --fqdn=client-node-01.example.com \ # 可选,客户端标识(默认使用主机名) --poll-interval=10s \ # 可选,轮询代理间隔(默认 10s) --scrape-timeout=10s # 可选,目标采集超时时间(默认 10s)
4.5 Prometheus 配置
在 Prometheus 配置中通过 proxy_url 指定 PushProx 代理,并配置目标节点。
示例配置(prometheus.yml):
yamlscrape_configs: - job_name: 'node-exporter-via-pushprox' proxy_url: '[***] # 代理服务地址 static_configs: - targets: ['client-node-01.example.com:9100'] # 客户端 FQDN 和目标端口(如 node-exporter 9100) # 若目标需通过 HTTPS 访问,添加以下参数(替代原生 scheme: https) params: _scheme: [https]
5. 服务发现
PushProx 代理提供 /clients 端点,返回所有已注册客户端的列表,格式符合 Prometheus file_sd_configs 要求,支持动态服务发现。
5.1 使用方法
-
获取客户端列表:
bashcurl [***] > /etc/prometheus/pushprox-clients.json -
配置 Prometheus 动态发现:
yamlscrape_configs: - job_name: 'pushprox-dynamic-clients' proxy_url: '[***] file_sd_configs: - files: ['/etc/prometheus/pushprox-clients.json'] # 客户端列表文件 relabel_configs: # 可选:添加 relabel 规则(如过滤、重命名标签等) - source_labels: [__meta_pushprox_fqdn] target_label: instance -
定期更新客户端列表:通过 cron 任务或监控工具定期执行 curl 命令,确保服务发现实时性。
6. 工作原理
6.1 基本流程
- 客户端轮询代理:客户端以 FQDN 标识自身,定期向代理发送轮询请求,等待 Prometheus 的采集指令。
- Prometheus 发起采集:Prometheus 通过代理的
proxy_url向目标客户端(如client-fqdn:9100)发起采集请求。 - 代理路由请求:代理根据目标 FQDN 匹配对应的客户端,将采集请求通过轮询响应发送给客户端。
- 客户端执行采集:客户端收到请求后,访问本地目标服务(如 node-exporter),获取指标数据。
- 客户端返回结果:客户端将指标数据 POST 到代理。
- 代理响应 Prometheus:代理将客户端返回的指标数据作为响应返回给 Prometheus。
7. 安全注意事项
-
无内置认证授权:PushProx 代理和客户端均未内置身份验证或授权机制,建议在代理前部署反向代理(如 Nginx、Traefik),添加 TLS、Basic Auth 或 OAuth2 等安全层。
-
客户端权限风险:运行客户端的主机可被通过代理访问其所有网络服务,需严格限制客户端主机的网络访问权限,避免未授权访问内部服务。
-
传输安全:建议通过 TLS 加密代理与客户端、Prometheus 与代理之间的通信,防止数据泄露或篡改。
8. 配置参数参考
8.1 代理(Proxy)参数
| 参数 | 描述 | 默认值 |
|---|---|---|
--listen-address | 代理监听地址和端口 | :8080 |
--timeout | 客户端请求超时时间 | 1m |
8.2 客户端(Client)参数
| 参数 | 描述 | 默认值 |
|---|---|---|
--proxy-url | 代理服务的 URL(必填) | - |
--fqdn | 客户端标识 FQDN,默认使用主机名 | 系统主机名 |
--poll-interval | 轮询代理的间隔 | 10s |
--scrape-timeout | 客户端执行采集的超时时间 | 10s |
--max-buffer-size | 最大响应缓冲区大小(字节) | ***(1MB) |
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"