Toby 1 Kenobi's questions

我使用 helm（在“monitoring”命名空间中）将 kube-prometheus-stack 15.3.1 安装到 GKE 集群中。我使用values.yaml来打开某些组件的入口，并将 SMTP 信息和接收者详细信息添加到警报管理器中。在大多数情况下，一切似乎都很好，除了 Prometheus 发出了许多警报，而且我没有收到任何警报电子邮件。

一个触发警报是：

PrometheusNotConnectedToAlertmanagers

Prometheus 监控/prometheus-kube-prometheus-stak-prometheus-0 没有连接到任何Alertmanagers

另一个是：

PrometheusOperatorSyncFailed

监控命名空间中的控制器警报管理器无法协调 1 个对象。

我还尝试打开警报管理器的入口并指向alerts.mydomiain.com它，但是当我尝试任何 GET 请求（例如alerts.mydomain.com/v2/status）时，我总是会收到 502 服务器错误。

我需要做什么才能让我的 alertmanager 正常工作？

这是输出kubectl get pods,svc,daemonset,deployment,statefulset -n monitoring：

NAME                                                            READY   STATUS    RESTARTS   AGE
pod/kube-prometheus-stack-grafana-58f7fcb497-hm72h              2/2     Running   0          30h
pod/kube-prometheus-stack-kube-state-metrics-6d588499f5-d957b   1/1     Running   0          2d3h
pod/kube-prometheus-stack-operator-54f89674c9-k8ml7             1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-22vpd        1/1     Running   0          3h57m
pod/kube-prometheus-stack-prometheus-node-exporter-2qsl9        1/1     Running   0          3h57m
pod/kube-prometheus-stack-prometheus-node-exporter-4d27n        1/1     Running   0          7h36m
pod/kube-prometheus-stack-prometheus-node-exporter-7rlnk        1/1     Running   0          4h47m
pod/kube-prometheus-stack-prometheus-node-exporter-7xlf4        1/1     Running   0          4h51m
pod/kube-prometheus-stack-prometheus-node-exporter-9mfnt        1/1     Running   0          3h57m
pod/kube-prometheus-stack-prometheus-node-exporter-9zblf        1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-bdcjj        1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-bs54w        1/1     Running   0          4h47m
pod/kube-prometheus-stack-prometheus-node-exporter-fp95h        1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-h4zhw        1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-pz8js        1/1     Running   0          3h58m
pod/kube-prometheus-stack-prometheus-node-exporter-rrrhk        1/1     Running   0          27h
pod/kube-prometheus-stack-prometheus-node-exporter-rszlt        1/1     Running   0          2d3h
pod/kube-prometheus-stack-prometheus-node-exporter-s62wq        1/1     Running   0          4h47m
pod/kube-prometheus-stack-prometheus-node-exporter-w9dmb        1/1     Running   0          5h32m
pod/kube-prometheus-stack-prometheus-node-exporter-xqmxk        1/1     Running   0          4h51m
pod/prometheus-kube-prometheus-stack-prometheus-0               2/2     Running   1          30h

NAME                                                     TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
service/kube-prometheus-stack-alertmanager               NodePort    10.125.4.161    <none>        9093:30903/TCP   2d3h
service/kube-prometheus-stack-grafana                    NodePort    10.125.7.177    <none>        80:32444/TCP     2d3h
service/kube-prometheus-stack-kube-state-metrics         ClusterIP   10.125.2.56     <none>        8080/TCP         2d3h
service/kube-prometheus-stack-operator                   ClusterIP   10.125.4.171    <none>        443/TCP          2d3h
service/kube-prometheus-stack-prometheus                 NodePort    10.125.13.11    <none>        9090:30090/TCP   2d3h
service/kube-prometheus-stack-prometheus-node-exporter   ClusterIP   10.125.10.231   <none>        9100/TCP         2d3h
service/prometheus-operated                              ClusterIP   None            <none>        9090/TCP         2d3h

NAME                                                            DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
daemonset.apps/kube-prometheus-stack-prometheus-node-exporter   17        17        17      17           17          <none>          2d3h

NAME                                                       READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/kube-prometheus-stack-grafana              1/1     1            1           2d3h
deployment.apps/kube-prometheus-stack-kube-state-metrics   1/1     1            1           2d3h
deployment.apps/kube-prometheus-stack-operator             1/1     1            1           2d3h

NAME                                                           READY   AGE
statefulset.apps/prometheus-kube-prometheus-stack-prometheus   1/1     42h

我有一个在 Google Cloud SQL 中运行的 PostgreSQL 数据库，我需要水平扩展。Cloud SQL 使添加只读副本变得容易，但对副本的负载平衡流量没有任何帮助。

我正在寻找可以帮助我在副本之间进行负载平衡的东西。我的应用程序在 Kubernetes 中运行（在与数据库相同的云项目中的 GKE 上），所以如果可以将解决方案部署到 Kubernetes，那就太好了。

有很多使用 ProxySQL 执行此操作的好教程，但它们都假设您使用的是 MySQL，并且 ProxySQL 配置文件似乎具有 MySQL 特定字段，但我没有找到任何明确说明“您不能将 ProxySQL 与 PostgreSQL 一起使用”的内容" 或 "ProxySQL 确实适用于 PostgreSQL，这里是如何做到的......"

所以我的问题是我可以将 ProxySQL 与 PostgreSQL 一起使用吗？如果是这样，配置文件会是什么样子？如果不是，我可以使用什么等价物？

我正在使用 Google Kubenetes Engine，并使用Google 管理的证书在我的 Ingress 上放置了 SSL 证书，我 发现我可以使用以下命令查看证书：

gcloud beta compute ssl-certificates describe certificate-name

但是，这不会显示证书的私钥。有什么办法可以得到私钥吗？

当在普通 TCP 上使用 gRPC 时，客户端会像这样（在 ruby​​ 中）与服务器建立一个通道：

stub = Helloworld::Greeter::Stub.new(service_url, :this_channel_is_insecure)

但是，当我在服务器上实现 TLS 并在服务器上放入我的 LetsEncrypt 证书时，客户端必须建立一个像这样的安全连接（在 ruby​​ 中）：

creds = GRPC::Core::Credentials.new(load_certs)  # load_certs typically loads a CA roots file
stub = Helloworld::Greeter::Stub.new(service_url, creds)

带有注释的代码取自官方 gRPC 文档。

我的问题是，为什么客户在这里需要证书？我认为是服务器需要证书，客户端确保它是有效的。当我的浏览器连接到安全网站时，它是否会将自己的证书带到桌面上？如果没有，为什么 gRPC 客户端需要一个？

从我的阅读中，客户端知道一些受信任的机构，服务器的证书链链接到其中之一。上面代码中的注释引用了一个“CA 根文件”，它可能是链顶部的权威证书。所以也许 gRPC 客户端会将服务器链根的证书与它自己的证书进行比较——但如果是这样的话，如果它得到错误的 CA 会发生什么？

所有解释如何从 gRPC 客户端建立安全连接的文档和帖子都说要从本地文件中读取证书，但没有一个说明该证书是什么，或者它来自哪里。

我错过了什么？

编辑：

我在我的计算机上发现了一个目录，其中包含一堆似乎是 CA 根证书的目录。/etc/ssl/certs/其中之一似乎是验证 LetsEncrypt 的授权，我在服务器上使用它，所以我尝试在客户端读取该证书，如下所示：

GRPC::Core::ChannelCredentials.new(File.read('/etc/ssl/certs/ISRG_Root_X1.pem'))

但它只导致了这个错误

握手失败，出现致命错误 SSL_ERROR_SSL: error:1000007d:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED。