TLS конфигурация
Тема дорожной карты · Prometheus
Конфигурация TLS в Prometheus обеспечивает зашифрованную связь между сервером Prometheus и его целями опроса, веб-интерфейсом и внешними системами, защищая данные метрик при передаче от прослушивания или подмены. Начиная с Prometheus 2.24, TLS для HTTP-сервера Prometheus можно настроить через файл веб-конфигурации, на который ссылается флаг --web.config.file, указав в tls_server_config пути к cert_file и key_file. При опросе HTTPS-целей параметры TLS для клиента задаются в блоке tls_config каждого scrape_config, включая ca_file для проверки удостоверяющего центра, cert_file и key_file для взаимной TLS-аутентификации, а также insecure_skip_verify (не рекомендуется для рабочей среды). Экспортёры, такие как node_exporter, поддерживают тот же механизм --web.config.file для включения TLS на своих эндпоинтах. Включение TLS в Prometheus особенно важно в средах, где эндпоинты метрик открыты через общие или ненадёжные сети, и является обязательным условием для соответствия требованиям фреймворков безопасности, предписывающих шифрование при передаче.
Как это работает
TLS конфигурация: у Prometheus нет встроенной auth (предполагается доверенная сеть). В production — за reverse proxy (Caddy, nginx) с auth (OAuth2 proxy, basic auth, mTLS). Scrape-таргеты с auth: basic_auth, bearer_token, tls_config. Шифруйте remote_write/read трафик через TLS. Ограничьте /metrics-эндпойнты от публичности (auth или network ACL). Скрейп-секреты — из secrets:-файла с правильными правами.
Когда применять
Всегда фронт Prometheus + Alertmanager с auth в production — даже "внутренние" тулы утекают бизнес-данными. mTLS или OAuth2-proxy спереди. Ротация scrape-credentials периодически. Prometheus под non-root. Для multi-tenant — Mimir или VictoriaMetrics (с tenancy); один Prometheus не изолирует тенантов.
Типичные ошибки
Ловушки TLS конфигурация: экспозиция UI / API Prometheus публично (мгновенный info leak — каждая метрика, каждый job); plain HTTP между Prometheus и exporters (cred + метрики на проводе); не ротируют service-account токены для k8s-scrape; общий Prometheus между security-границами (нет tenancy-изоляции).