所以我去看promQL。 :)
我一直在研究有没有可能,但是这变得越来越困难,而且我不确定是否有可能(我想要的东西)。
所以,我正在使用纤毛虫。 Cilium的度量标准为cilium_drop_count_total。这表明是否存在对资源的非法访问,或者策略是否存在问题。现在,这是有问题的,因为我们正在使用实际的cilium策略来拒绝对某些资源的访问,并且即使访问来自群集内部,计数也会增加。
现在,我们有这样的警报:
irate(cilium_drop_count_total{reason="Policy denied"}[5m]) > 0.05
这很好,但是,我需要过滤掉内部访问的内容。此度量标准有一个名为instance的字段,其中包含原始发件人的IP地址。
还有一个称为cilium_ip_addresses的度量。该指标包含基于Pod标签的ip地址,另一个指标也具有...现在。 :)
我想将以上警报修改为仅在实例字段中的IP不是与其他指标中的容器值匹配的容器的ip时触发。 :)
基本上->
纤毛滴计数总数的样本(不包括其他一些不感兴趣的字段):
| pod | instance |
|-------------|---------------|
| cilium-1234 | 10.1.1.1:9090 |
示例cilium ip地址(不包括其他一些不重要的字段):
| pod | instance |
|-------------|---------------|
| cilium-1234 | 10.1.1.1:9090 |
我希望这有道理。
任何指向何处阅读以使它起作用的指针也将受到赞赏。
谢谢!