monitoring: OpenVPN per-client (openvpn_exporter на ru1 + дашборд)

stacks/monitoring-agent/docker-compose.yml

@@ -1,8 +1,5 @@
-# Каноничный агент мониторинга для удалённой ноды: node-exporter + cadvisor в host-network
-# (node-exporter видит реальные интерфейсы хоста — ens3/eth0/wg*/tun*).
-# Порты 9100/8080 ОБЯЗАТЕЛЬНО закрыть на ноде только для IP fr1
-# (ufw allow from <fr1> / iptables INPUT DROP ! -s <fr1>). Скрейп — по публичному IP ноды.
-# Используется на ru1. de1 пока на старом bridge-варианте (сетевые метрики = docker-бридж).
+# Агент мониторинга ru1: node-exporter + cadvisor (host-net) + openvpn-exporter.
+# Порты 9100/8080/9176 закрыты iptables INPUT (только fr1 161.97.93.252). Скрейп — по публичному IP.
 name: monitoring-agent
 
 services:
@@ -34,3 +31,13 @@ services:
       - /sys:/sys:ro
       - /var/lib/docker/:/var/lib/docker:ro
       - /dev/disk/:/dev/disk:ro
+
+  openvpn-exporter:
+    image: kumina/openvpn-exporter:latest
+    network_mode: host
+    restart: unless-stopped
+    command:
+      - -openvpn.status_paths=/run/openvpn-server/status-openvpn.log,/var/log/openvpn-ru-status.log
+    volumes:
+      - /run/openvpn-server:/run/openvpn-server:ro
+      - /var/log:/var/log:ro