kubernetes-sidecar方式日志收集(filebeat->kafka)

最新推荐文章于 2024-07-24 16:54:22 发布
最新推荐文章于 2024-07-24 16:54:22 发布
阅读量2k 收藏 1
点赞数
分类专栏: kubernetes kafka ELK 文章标签: kubernetes filebeat kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kozazyh/article/details/79388182
版权
kubernetes 同时被 3 个专栏收录
127 篇文章 11 订阅
订阅专栏
kafka
10 篇文章 0 订阅
订阅专栏
ELK
4 篇文章 0 订阅
订阅专栏

version: filebeat:6.2.4

容器日志的默认存储方式是:json-file
1. docker 所有日志实际存放路径为:/var/lib/docker/containers/ ,日志文件的名称跟k8s的命名方式并没有关联;
2. 为了方便管理(使用deployment,container的名称来命名日志),会创建一些links,指向日志实际存储路径 /var/lib/docker/containers/ ;
   a.在 /var/log/pods/pod_uuid/ 目录下为每个pod 创建links --> /var/lib/docker/containers/
   b.在 /var/log/containers/ 目录下创建links --> /var/log/pods/
3. 可以看到实际日志存放在/var/lib/docker/containers/...下,并在/var/log/pods/和/var/log/containers/创建一些软links指向实际日志存放位置。这样是为了可以按pod和pod中的container找到自己的日志文件位置。

其中命名方式,下面以一个例子说明:
1.定义一个deployment:

test@local:~/k8s/test/testlog$ cat testlogs.yaml 
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: testlogs
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: testlogs
    spec:
      containers:
      - name: a
        image: koza/echo-message:latest
        imagePullPolicy: IfNotPresent

2.查询运行状态:

test@local:~/k8s/test/testlog$ kubectl get pod |grep testlogs
testlogs-3220469847-sc1kx                                   2/2       Running   0          1h

3.根据testlogs的日志存放,可以看到规则如下(/var/log/containers/下的命名规则):
格式1:pod_name _default_ container_name
格式2:container_hostname _default_ container_name
testlogs-3220469847-sc1kx_default_a 
pod_name 和 container_hostname 是一样的。

[root@node1~]#ls -la /var/log/containers/testlogs-3220469847-sc1kx_default_a-ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f.log
lrwxrwxrwx 1 root root 58 2月  27 11:25 /var/log/containers/testlogs-3220469847-sc1kx_default_a-ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f.log -> /var/log/pods/e84c2a12-1b6d-11e8-8d36-fefcfe08185c/a_0.log

[root@node1 ~]# ls -la  /var/log/pods/e84c2a12-1b6d-11e8-8d36-fefcfe08185c/a_0.log
lrwxrwxrwx 1 root root 163 2月  27 11:25 /var/log/pods/e84c2a12-1b6d-11e8-8d36-fefcfe08185c/a_0.log -> /var/lib/docker/containers/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f-json.log

[root@node1 ~]# ls -la /var/lib/docker/containers/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f-json.log
-rw-r----- 1 root root 544318 2月  27 13:01 /var/lib/docker/containers/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f/ad4d2f104bf5a45f9d9f13c1ed5ed4685408bbd2d4e0746dc45736035e66214f-json.log
[root@k8s-node ~]#


4.有了这些规则(/var/log/containers/${POD_NAME}-*_default_${CONTAINER_NAME}-*.log),假设容器的日志输出都是stdout以及使用filebeat来收集日志,为了方便维护日志,我们单独创建一个日志收集组件(filebeat)跟app的容器一起运行在同一个pod中。这样,我们就可以在filebeat.yam中根据pod的命名规则,指定自己的日志。

 

 

filebeat.yaml:

 

 

filebeat.prospectors:
- input_type: log
  paths:
    - "/var/log/containers/${POD_NAME}-*_default_${CONTAINER_NAME}-*.log"
  symlinks: true
  json.message_key: log
  json.keys_under_root: true
  json.add_error_key: true
  multiline.pattern: '^\['
  multiline.negate: false
  multiline.match: after
  document_type: kube-logs
  fields:
    host: ${FILEBEAT_HOST:${HOSTNAME}}
    cluster_name: ${CLUSTER_NAME:default}
  fields_under_root: true

#output.logstash:
#    hosts: ${LOGSTASH_HOSTS:?No logstash host configured. Use env var LOGSTASH_HOSTS to set hosts.}
#    timeout: 15

output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ${KAFKA_URL}
  # message topic selection + partitioning
  topic: '${TOPIC_NAME}'
  partition.round_robin:
    reachable_only: false
  required_acks: ${ACKS:1}
  compression: gzip
  max_message_bytes: 1000000

logging.level: ${LOG_LEVEL:error}

Dockerfile

FROM debian:jessie

ENV FILEBEAT_VERSION 6.2.4

RUN apt-get update && \
    apt-get -y install wget && \
    wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-${FILEBEAT_VERSION}-linux-x86_64.tar.gz && \
    tar xzf filebeat-${FILEBEAT_VERSION}-linux-x86_64.tar.gz && \
    mv filebeat-${FILEBEAT_VERSION}-linux-x86_64/filebeat /usr/local/bin && \
    rm -rf /filebeat* && \
    apt-get -y remove wget && \
    apt-get -y autoremove

COPY filebeat.yml /etc/filebeat/
RUN chmod go-w /etc/filebeat/filebeat.yml

CMD ["/usr/local/bin/filebeat", "-e", "-c", "/etc/filebeat/filebeat.yml"]

 

build image

 

build --tag koza/filebeat-kafka:latest .

在k8s中应用(deployment.yaml):

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: testlogs
  namespace: default
  labels:
    app: testlogs
spec:
  template:
    metadata:
      labels:
        app: testlogs
      name: testlogs
    spec:
      containers:
      - name: filebeat
        image: koza/filebeat-kafka:latest
        imagePullPolicy: IfNotPresent
        resources:
          limits:
            cpu: 50m
            memory: 50Mi
        env:
          - name: KAFKA_URL
            value: "[\"kafka-01.server:9092\",\"kafka-02.server:9092\",\"kafka-03.server:9092\"]"
          - name: TOPIC_NAME
            value: testlogs
          - name: LOG_LEVEL
            value: info
          - name: ACKS
            value: 1
          - name: POD_NAME
            value: testlogs
          - name: CONTAINER_NAME
            value: mylogs
          - name: CLUSTER_NAME
            value: my_cluster
          - name: FILEBEAT_HOST
            valueFrom:
                fieldRef:
                  fieldPath: spec.nodeName
        volumeMounts:
        - name: varlog
          mountPath: /var/log/containers
        - name: varlogpods
          mountPath: /var/log/pods
          readOnly: true
        - name: varlibdockercontainers
          mountPath: /var/lib/docker/containers
          readOnly: true

      - name: mylogs
        image: koza/echo-message:latest
        imagePullPolicy: IfNotPresent

      volumes:
      - name: varlog
        hostPath:
          path: /var/log/containers
      - name: varlogpods
        hostPath:
          path: /var/log/pods
      - name: varlibdockercontainers
        hostPath:
          path: /var/lib/docker/containers

 

 

5.备注

1.容器日志输出到stdout,也会写一份json-file.log ,如果定义log-driver为none,就不会记录日志,docker logs 容器名称,也不会查询到日志。
2.k8s中每个POD中的container的hostname跟POD name是一样的。
3.filebeat 的配置文件filebeat.yml 支持读取系统的环境变量,像${POD_NAME}、${CONTAINER_NAME}都是从环境变量传入的变量(k8s可以定义env来传入变量)。

 

 

 

 

参考:

 

 

kubernetes日志架构(建议先看看这篇文章):https://kubernetes.io/docs/concepts/cluster-administration/logging/

filebeat处理k8s stdout日志:https://github.com/ApsOps/filebeat-kubernetes

https://hub.docker.com/r/apsops/filebeat-kubernetes/

filebeat处理文件日志:https://jimmysong.io/posts/kubernetes-filebeat/

官方教程 :https://github.com/elastic/beats/tree/master/deploy/kubernetes/filebeat

kubernetes日志存储机制: https://blog.csdn.net/liukuan73/article/details/79015610

大飞哥2
关注
专栏目录
Rancher入门到精通-基于sideCar部署filebeats收集指定日志Kafka
隔壁老瓦的专栏
07-16 2090
Rancher配置sideCar sideCar配置filebeats 注意环境变量及数据卷的配置 filebeat启动成功 启动输出日志 kafka连接成功 编辑log文件 校验kafka 读取 yml文件清单 apiVersion: apps/v1 kind: Deployment metadata: annotations: deployment.kubernetes.io/revision...
10 kubernetes 日志收集流程简介、pod日志收集的几种方式
渐行渐远的博客
02-15 3569
一 elk以及kafka集群 环境准备 1.1 日志收集流程 1.2 elk集群准备 1.2.1 es集群环境准备 es版本为7.12https://www.elastic.co/cn/downloads/http://www.pingtaimeng.com/article/detail/id/2151994 7.12安装 1.2.1.1 准备java环境 yum install -y j...
filebeat-sidecar模式采集pod应用日志
晓俊子的博客
01-16 1348
Sidecar方式为每个POD单独部署日志agent,相对资源占用较多,但灵活性以及多租户隔离性较强,建议大型的K8S集群或作为PAAS平台为多个业务方服务的集群使用该方式。DaemonSet方式在每个节点只允许一个日志agent,相对资源占用要小很多,但扩展性、租户隔离性受限,比较适用于功能单一或业务不是很多的集群;原生方式相对功能太弱,一般不建议在生产系统中使用,否则问题调查、数据统计等工作很难完成;如果运行失败可以查看运行情况,删除应用重新部署。包括filebeat镜像和应用服务镜像。
日志收集filebeat使用介绍 -K8s篇
最新发布
shizhiyi的博客
07-24 1508
版本:filebeat-7.12.0是关于k8s的日志采集,部署方式是采用的方式,采集时按照k8s集群的进行分类,然后根据的名称创建不同的到kafka中一般情况下,容器中的日志在输出到标准输出(stdout)时,会以的命名方式保存在目录中,当然如果修改了的数据目录,那就是在修改后的数据目录中了,例如: 这里能看到,有这么个文件: ,然后k8s默认会在和目录中会生成这些日志文件的软连接,如下所示: 然后,会看到这个目录下存在了此宿主机上的所有容器日志,文件的命名方式为: 上面这个是的命名方式,其他
K8S 使用 SideCar 模式部署 Filebeat 收集容器日志
杂货铺子
11-06 8602
对于 K8S 内的容器日志收集,业内一般有两种常用的方式: 使用 DaemonSet 在每台 Node 上部署一个日志收集容器,用于收集当前 Node 上所有容器挂载到宿主机目录下的日志 使用 SideCar 模式将日志收集容器与业务容器部署在同一个 Pod 中,只收集对应容器的日志 这两种方式各有优缺点。使用 DaemonSet 方式部署日志收集服务,管理起来简单,但是如果一个 Node 中运行了过多的 Pod,那么日志收集会存在性能瓶颈。使用 SideCar 模式可以更有针对性的收集容器的日志,但是
k8s Sidecar filebeat 收集容器中的trace日志和app日志
不忘初心,方得始终
01-31 931
将容器中服务的trace日志和应用日志收集KAFKA,需要注意的是 trace 日志和app 日志需要存放在中。分别为APP_TOPIC和TRACE_TOPIC。
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4255
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
使用kubernetes部署ELK日志系统
07-24
Kubernetes环境中,Logstash通常作为sidecar容器运行,或者通过ConfigMap或Job来周期性地处理日志。配置可能涉及输入插件(如从Kubernetes API Server或syslog获取日志)、过滤器插件(如解析JSON格式的日志)和...
filebeat收集容器内日志kafka
xletian的专栏
08-26 708
通常 filebeat可以用sidecar的模式来收集容器内的日志kafka或es。 但是如果使用rancher配置了将日志收集到es,若同时希望将日志收集kafka。在rancher2.4.5中无法配置,此时也无法使用sidecar模式来收集日志。 最简单的方式是将filebeat打包到镜像内,在同一容器内启动多进程来实现。 filebeat配置日志收集kafka非常方便。只需设置个yaml文件: 例如创建: logs_kafka.yml filebeat.inputs: - type:
Graylog Sidecar filebeat日志收集传输工具安装
赞的心路历程
07-28 3673
Graylog Sidecar是一个轻量级配置管理系统,适用于不同的日志收集器,也称为后端。Graylog节点充当包含日志收集器配置的集中式集线器。在支持的消息生成设备/主机上,Sidecar可以作为服务(Windows主机)或守护程序(Linux主机)运行。进行在不同机器上进行日志的采集并发送到graylog server 1.下载安装 Sidecar sudo rpm -Uvh https://packages.graylog2.org/repo/p...
filebeat采用sidecar模式收集k8s日志
weihua831的博客
08-25 843
filebaet
[kubernetes]-filebeat以sidecar模式收集pod日志
爷来辣的博客
08-26 2346
目的: 收集测试环境日志到kibana 定义日志收集相关配置的一个通配configmap test-filebeat-config.yaml #定义日志收集相关配置的一个通配configmap --- apiVersion: v1 kind: ConfigMap metadata: name: test-filebeat-config namespace: test labels: config: test-filebeat-config data: filebeat.yml: |-
Kubernetes日志采集Sidecar模式介绍
会哭的雨@的博客
04-14 2386
摘要: DaemonSet和Sidecar模式各有优缺点,目前没有哪种方式可以适用于所有场景。因此我们阿里云日志服务同时支持了DaemonSet以及Sidecar两种方式,并对每种方式进行了一些额外的改进,更加适用于K8S下的动态场景。 Kubernetes(K8S)作为CNCF(cloud native computing foundation)的一个核心项目,背靠Google和Redhat的强大社区,近两年发展十分迅速,在成为容器编排领域中领导者的同时,也正在朝着PAAS底座标配的方向发展。 日.
KubernetesFilebeat以sidecar模式实现容器日志收集
moxiaomomo的专栏
11-13 8153
说明 Filebeat可以以sidecar模式来进行容器日志收集,也就是filebeat和具体的服务容器部署在同一个pod内,指定收集日志的路径或文件,即可将日志发送到指定位置或Elasticsearch这类的搜索引擎。 每个pod内部署filebeat的模式,好处是和具体的应用服务低耦合,可扩展性强,不过需要在yaml进行额外配置。 yaml示例 # app服务 --- apiVersion:...
k8s 部署filebeat sidecar模式之nginx测试
虫虫的博客
07-28 1211
k8s 部署filebeat sidecar模式之nginx测试
【k8s】【ELK】【三】Sidecar容器运行日志Agent
Nightwish5的博客
05-16 1155
【代码】【k8s】【ELK】Sidecar容器运行日志Agent。
graylog3配置的监听sidecar和filebeat
PYJcsdn的博客
03-25 2229
安装sidecar:sudo rpm -ivh graylog-sidecar-1.0.1-1.x86_64.rpm 修改/etc/graylog/sidecar/ sidecar.yml文件 server_api_token:graylog的web页面产生 server_url:graylog的url node_name:默认为主机名称,不改也行 服务器并启动: sudo grayl...
Filebeat在ELK中的实战应用
qq_19663899的博客
11-05 1634
写在前面 由于使用分布式部署线上服务的原因,我们在查看日志的时候往往优化恩达的困难,尤其是在定位错误的时候无法找到对应错误所在的服务器,这时我们需要将所有的错误日志统一的收集起来进行集中查询. 技术栈 elasticsearch:用来存储日志,进行日志查询 logstash:用来处理日志,将日志格式调整存入es filebeat:将对应服务器上的日志收集起来发送到logstash kibana:...
Graylog 使用sidecar 和filebeat 采集linux日志
sinat_33381348的博客
01-22 1117
记录工作实践,统一管理采集日志的地址#
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值