GaussDB-概述

GaussDB-概述

Prometheus是业内非常流行的开源监控系统，同时本身也是一款时序数据库。Prometheus的采集端被称为exporter，用来收集被监控模块的指标项。为了与Prometheus平台完成对接，AI工具自带了几款exporter，分别是用来采集数据库指标的opengauss-exporter，用来执行cmd命令并获取返回结果以及采集日志信息的cmd-exporter，以及对采集到的指标进行二次加工的reprocessing-exporter。

NOTICE:

• Prometheus和exporter是业内流行的监控和采集平台，部署在内网环境中，不对外部暴露接口，仅供内部监控平台使用。因此，为了增强该平台的安全性，一般需要用户或运维人员配置防火墙等，以便隔离外部访问，从而增强监控平台的安全性。
• Prometheus平台在默认情况下，采用Http协议、并且没有任何安全访问限制。这是因为，该平台一般部署在内网环境中，攻击风险可控。如果用户希望提高安全性，可自行修改Prometheus的TLS配置选项或增加basic_auth_users相关选项，但仍不建议对外部直接暴露访问接口。
• Prometheus默认绑定的IP地址是0.0.0.0，DBMind无法自动获知用户希望绑定的IP地址，故用户应该显式设置Prometheus的绑定IP地址，以减小安全风险。对于Prometheus的其他开源exporter（如node-exporter）也是同理。
• DBMind的exporter与Prometheus交互时，若使用SSL证书，则默认会进行双向认证。
• Prometheus的CA证书默认只支持SAN（Subject Alternative Name）形式，用户在配置Prometheus的CA证书，以及与Prometheus进行认证的证书时，需要使用SAN格式。同时，Prometheus不支持密码保护的私钥文件，用户在为Prometheus生成私钥文件时，请不要使用密码保护。例如，用户可以参考下述示例，通过openssl工具生成SAN形式的自签发证书和私钥文件：

  openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout prometheus.key -out prometheus.crt -subj "/C=CN/ST=GaussDB/L=GaussDB/O=GaussDB/CN=localhost" -addext "subjectAltName = DNS:localhost"

   

  通过执行上述命令，可以生成两个文件prometheus.crt和prometheus.key，其中prometheus.crt文件可以同时作为CA证书使用。

• DBMind的exporter默认支持HTTPS协议，需要用户手动指定证书文件路径，建议用户使用。
• DBMind Service的部分功能会从Prometheus中获取时序数据，该通道也可以使用SSL协议进行加固，prometheus默认支持https通信，建议用户使用。

 

更多详情请参考GaussDB 文档中心：https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/productdesc/qlh_03_0001.html