Rancher Monitoring Pushprox 端口监听问题

Rancher Monitoring 会通过 PushProx 获取 kube-controller-manager、kube-scheduler 等 Kubernetes 组件的 Metrics。

其中，9369 端口是 pushprox-client 在启用 hostNetwork 后默认监听的 Metrics 端口。默认情况下，可以通过节点 IP 和该端口访问 PushProx 的 Metrics。

---

问题说明

9369 端口暴露的并不是被代理组件（如 kube-controller-manager、kube-scheduler）的 Metrics，而是 PushProx 组件本身的 Metrics。

通常情况下，这些 Metrics 并不会被实际使用。

同时，PushProx 本身默认不提供认证机制：

https://github.com/prometheus-community/PushProx/blob/master/README.md#security

因此，在部分对安全要求较高的环境中，可能会希望关闭节点上的 9369 端口监听。

---

Rancher Monitoring 当前限制

目前 Rancher Monitoring 的 values.yaml 中，并未直接提供关闭 9369 监听端口的参数。

不过，可以通过修改 pushprox-client 的启动参数，禁用其 Metrics Server，从而关闭节点上的 9369 端口监听。

---

关闭 Pushprox Metrics 监听

在 Rancher Monitoring 的 values.yaml 中，修改对应组件的 pushprox-client 启动参数：

rke2ControllerManager:
  enabled: true
  clients:
    command:
      - pushprox-client
      - --metrics-addr=

rke2Etcd:
  enabled: true
  clients:
    command:
      - pushprox-client
      - --metrics-addr=

rke2IngressNginx:
  enabled: true

rke2Proxy:
  enabled: true
  clients:
    command:
      - pushprox-client
      - --metrics-addr=

rke2Scheduler:
  enabled: true
  clients:
    command:
      - pushprox-client
      - --metrics-addr=

---

配置说明

参数：

--metrics-addr=

表示禁用 pushprox-client 自身的 Metrics HTTP Server。

配置后：

• 节点上的 9369 端口将不再监听
• PushProx 自身 Metrics 无法访问
• 不影响 Rancher Monitoring 正常采集 Kubernetes 组件 Metrics

---

验证方式

配置生效后，可以在节点上检查 9369 端口是否仍在监听：

ss -lntp | grep 9369

或者：

netstat -lntp | grep 9369

如果没有输出，则说明监听已成功关闭。