# Каноничный агент мониторинга для удалённой ноды: node-exporter + cadvisor в host-network
# (node-exporter видит реальные интерфейсы хоста — ens3/eth0/wg*/tun*).
# Порты 9100/8080 ОБЯЗАТЕЛЬНО закрыть на ноде только для IP fr1
# (ufw allow from <fr1> / iptables INPUT DROP ! -s <fr1>). Скрейп — по публичному IP ноды.
# Используется на ru1. de1 пока на старом bridge-варианте (сетевые метрики = docker-бридж).
name: monitoring-agent

services:
  node-exporter:
    image: prom/node-exporter:latest
    network_mode: host
    pid: host
    restart: unless-stopped
    command:
      - '--path.procfs=/host/proc'
      - '--path.sysfs=/host/sys'
      - '--path.rootfs=/rootfs'
      - '--collector.filesystem.mount-points-exclude=^/(sys|proc|dev|host|etc)($$|/)'
    volumes:
      - /proc:/host/proc:ro
      - /sys:/host/sys:ro
      - /:/rootfs:ro

  cadvisor:
    image: gcr.io/cadvisor/cadvisor:latest
    network_mode: host
    restart: unless-stopped
    privileged: true
    devices:
      - /dev/kmsg
    volumes:
      - /:/rootfs:ro
      - /var/run:/var/run:ro
      - /sys:/sys:ro
      - /var/lib/docker/:/var/lib/docker:ro
      - /dev/disk/:/dev/disk:ro