K8s中EFK日志采集部署

于 2024-09-11 11:00:10 发布
阅读量576 收藏 6
点赞数 19
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianshang666/article/details/142133928
版权

零、EFK架构及参考文章

注:这个教程只在aws或者本地自己搭建的k8s集群有效,如果使用的是serverless的k8s,例如:阿里云,腾讯云购买的K8s集群的话,并不适用,因为serverless的集群并没有node的概念,无法部署daemonset。

1.EFK架构

我们将 Kubernetes 集群作为一个整体,那么我们将需要统一收集日志。但是 Kubernetes 并不提供任何日志收集功能,因此您需要设置一个集中的日志后端(例如: Elasticsearch) ,并将所有日志发送到日志后端。下面的图像描绘了一个 high-level 的 Kubernetes Logging 架构。

请添加图片描述
我最后将EFK中的Fluentd替换成了Fluent-bit,理由如下:
请添加图片描述
FluentdFluent Bit都可以用作聚合器或转发器,它们可以相互补充或用作独立解决方案。近年来,出于性能和兼容性原因,云提供商从 Fluentd 转向 Fluent Bit。Fluent Bit 现在被认为是下一代解决方案

2.参考文章

K8S日志通过fluent-bit采集到ES并在Kibana上查询:https://mafgwo.cn/2021/07/09/2028_k8s-fluent-bit/

ElasticSearch+Kibana on K8s 讲解与实战操作(版本7.17.3):https://juejin.cn/post/7276675247597617163#heading-19

这篇文章最主要的是讲解了ElasticSearch常见API实例讲解

es对日志数据进行索引生命周期管理:https://blog.csdn.net/w1014074794/article/details/120670909

ELK入门——解决:Kibana的Stack Monitoring显示节点offline:https://blog.csdn.net/Netceor/article/details/113616029

Kubernetes 集群日志 和 EFK 架构日志方案:https://www.cnblogs.com/whuanle/p/15893923.html

FK-ELK日志架构系列3:Kibana用户角色权限之配置用户访问指定日志:https://blog.csdn.net/welcome66/article/details/107224840

kibana 开发工具常用命令:http://t.csdnimg.cn/ruaSF

3.日志采集方式

日志作为任一系统不可或缺的部分,在K8S的官方文档中也介绍了多种的日志采集形式,总结起来主要有下述3种:原生方式、DaemonSet方式和Sidecar方式。

  • 原生方式:使用 kubectl logs 直接在查看本地保留的日志,或者通过docker engine的 log driver 把日志重定向到文件、syslog、fluentd等系统中。

  • DaemonSet方式:在K8S的每个node上部署日志agent,由agent采集所有容器的日志到服务端。

  • Sidecar方式:一个POD中运行一个sidecar的日志agent容器,用于采集该POD主容器产生的日志
    请添加图片描述

DaemonSet确保全部(或者某些)节点上运行一个Pod副本。当有新节点加入集群时,也会为它们新增一个Pod。当节点从集群中移除时,这些Pod也会被回收,删除DaemonSet将会删除它创建的所有Pod
使用DaemonSet的一些典型用法:
运行集群存储daemon(守护进程),例如在每个节点上运行Glusterd、Ceph等
在每个节点运行日志收集daemon,例如Fluentd、Logstash、Fluent-bit
在每个节点运行监控daemon,比如Prometheus Node Exporter等

简单来说,原生方式和DaemonSet属于非侵入式采集,而Sidecar属于侵入式采集

一、部署elasticsearch

1.介绍

Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。 作为Elastic Stack 的核心,Elasticsearch 会集中存储您的数据,让您飞快完成搜索,微调相关性,进行强大的分析,并轻松缩放规模。

2.部署流程

  • 拉取Elastic的helm

    # 添加 Elastic Helm charts repo
helm repo add elastic https://helm.elastic.co

# 拉取
helm pull elastic/elasticsearch --version=7.17.3 --untar

  • 如果是在本地部署的话,需要提前创建pv和pvc

    ### 创建pv.yaml
apiVersion: v1
kind: PersistentVolume
metadata:
  name: pv-logging-efk-1
spec:
  capacity:
    storage: 20Gi
  accessModes:
    - ReadWriteOnce
  persistentVolumeReclaimPolicy: Retain
  storageClassName: logging-efk
  hostPath:
    path: "/mnt/data1"
---
apiVersion: v1
kind: PersistentVolume
metadata:
  name: pv-logging-efk-2
spec:
  capacity:
    storage: 20Gi
  accessModes:
    - ReadWriteOnce
  persistentVolumeReclaimPolicy: Retain
  storageClassName: logging-efk
  hostPath:
    path: "/mnt/data2"
---
apiVersion: v1
kind: PersistentVolume
metadata:
  name: pv-logging-efk-3
spec:
  capacity:
    storage: 20Gi
  accessModes:
    - ReadWriteOnce
  persistentVolumeReclaimPolicy: Retain
  storageClassName: logging-efk
  hostPath:
    path: "/mnt/data3"


### 创建pvc.yaml
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: logging-efk-v1
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 20Gi
  storageClassName: logging-efk

  • 修改values.yaml

    clusterName: "elasticsearch"
nodeGroup: "master"
masterService: "elasticsearch-master"

roles:
  master: "true"
  ingest: "true"
  data: "true"
  remote_cluster_client: "true"
  ml: "true"

replicas: 3
minimumMasterNodes: 2

esMajorVersion: ""

clusterDeprecationIndexing: "false"

esConfig: {
     }

esJvmOptions: {
     }

extraEnvs: []

envFrom: []

secret:
  enabled: true
  password: "novastar"
secretMounts: []


hostAliases: []

image: "docker.elastic.co/elasticsearch/elasticsearch"
imageTag: "7.17.3"
imagePullPolicy: "IfNotPresent"

podAnnotations:
  {
     }

labels: {
     }

esJavaOpts: "-Xmx1g -Xms1g" # example: "-Xmx1g -Xms1g"

resources:
  requests:
    cpu: "1000m"
    memory: "2Gi"
  limits:
    cpu: "1000m"
    memory: "2Gi"

initResources:
  {
     }

networkHost: "0.0.0.0"

volumeClaimTemplate:
  accessModes: ["ReadWriteOnce"]
  resources:
    requests:
      storage: 20Gi
  storageClassName: "logging-efk"

rbac:
  create: false
  serviceAccountAnnotations: {
     }
  serviceAccountName: ""
  automountToken: true

podSecurityPolicy:
  create: false
  name: ""
  spec:
    privileged: true
    fsGroup:
      rule: RunAsAny
    runAsUser:
      rule: RunAsAny
    seLinux:
      rule: RunAsAny
    supplementalGroups:
      rule: RunAsAny
    volumes:
      - secret
      - configMap
      - persistentVolumeClaim
      - emptyDir

# 开启持久化存储
persistence:
  enabled: true
  existingClaim: "logging-efk-v1"
  labels:
    enabled: false
  annotations: {
     }


extraVolumes:
  []

extraVolumeMounts:
  []

extraContainers:
  []

extraInitContainers:
  []

priorityClassName: ""

antiAffinityTopologyKey: "kubernetes.io/hostname"

antiAffinity: "hard"

nodeAffinity: {
     }

podManagementPolicy: "Parallel"

enableServiceLinks: true

protocol: http
httpPort: 9200
transportPort: 9300

# type这里使用的是LoadBalancer,
service:
  enabled: true
  labels: {
     }
  labelsHeadless: {
     }
  type: LoadBalancer

  publishNotReadyAddresses: false
  nodePort: ""
  annotations: {
     }
  httpPortName: http
  transportPortName: transport
  loadBalancerIP: ""
  loadBalancerSourceRanges: []
  externalTrafficPolicy: ""

updateStrategy: RollingUpdate

maxUnavailable: 1

podSecurityContext:
  fsGroup: 1000
  runAsUser: 1000

securityContext:
  capabilities:
    drop:
      - ALL
  runAsNonRoot: true
  runAsUser: 1000
最低0.47元/天 解锁文章
子非鱼2020
关注
  • 19
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
k8s集群搭建EFK日志平台:ElasticSearch + Fluentd + Kibana
全栈测试笔记
11-09 393
k8s集群 kubectl get node EFK简介 ElasticSearch:分布式存储检索引擎,用来搜索、存储日志 Fluentd:日志采集 Kibana:读取es数据进行可视化web界面展示 下载 https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 安装...
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)_efk 系统日志 容器日志
2401_84166236的博客
04-17 697
默认的索引格式为filebeat-%{[agent.version]}-%{+yyyy.MM.dd},在Kibana上呈现的就是filebeat-2023.10.21-000001这样的索引命名格式,而且默认的索引模板和索引生命周期都与index设置的filebeat-demo-%{[agent.version]}-%{+yyyy.MM.dd}无关。setup.template.name: “filebeat-demo” # 设置一个新的模板,模板的名称为filebeat-demo。
02.k8sEFK收集服务日志
运维玄德公
09-16 613
前言: 前一篇文章《helm部署ELK及pod日志收集》从平台层面收集了k8s所有pod的日志(实际是汇集了每个节点上docker打印的所有容器日志),但是这仅限于容器前台输出的日志。对于服务自己打印到文件的分级日志则需要我们用其他方式收集。本章提供一个方案,收集服务打印到指定目录的所有日志。 1. 环境说明 ELK已部署如下: [root@DoM01 ~]# kubectl get service -n elk NAME TYPE C.
云原生Kubernetes部署EFK日志分析系统
weixin_73059729的博客
07-08 1301
Elasticsearch、Fluentd和Kibana。(EFK)技术栈也是官方推荐的一种方案。
K8S部署EFK(fluentd)收集日志
qq_39746321的博客
03-19 1965
部署EFK日志收集系统,收集K8S对应pod的日志
基于EFKKubernetes日志采集方案
xiangfeideyuwei的博客
07-25 755
但是实际情况考虑网络等因素,往往缓存块被写入后端存储的时候会出现延迟或者写入失败的情况,当缓存块写入后端失败时,该缓存块还会留在队列,等retry_wait时间后重试发送,当retry的次数达到retry_limit后,该缓存块被销毁(数据被丢弃)。比较理想的情况是每次有新的缓存块进入缓存队列,则立马会被写入到后端,同时,新缓存块也持续入列,但是入列的速度不会快于出列的速度,这样基本上缓存队列处于空的状态,队列最多只有一个缓存块。查找匹配 “tags” 的事件,并处理它们。
k8s搭建efk
01-22 596
Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大量日志数据,也可用于搜索许多不同类型的文档。 Elasticsearch 通常与 Kibana 一起部署,Kibana 是 Elasticsearch 的一个功能强大的数据可视化 Dashboard,Kibana 允许你通过 web 界面来浏览 Elasticsearch 日志数据。...
银河麒麟高级服务器操作系统V10上基于k8s部署EFK(ElasticSearch Fluentd Kibana)日志收集方案
湖南长城科技的博客
01-22 1303
前言 本文介绍基于银河麒麟高级服务器操作系统V10已安装部署k8s单机集群上部署EFK方案 本文涉及部署脚本主要基于kubernetes官方项目https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch在arm64上的迁移适配项目https://github.com/hknarutofk/fluentd-elasticsearch-arm64 前置条件 银河麒麟高级服务器操.
二进制方式部署K8s高可用集群
qq_63652578的博客
09-08 1392
kube-apiserver.service是kube-apiserver守护进程的systemd服务单元。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置。
kubeadm方式安装k8s
最新发布
m0_72009757的博客
09-10 326
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
K8S部署MySQL高可用工具Orchestrator
sozee910的博客
09-05 1124
Orchestrator 可以部署在物理机、虚拟机或 Kubernetes 集群,笔者发现目前针对k8s集群部署的方式介绍较少,现通过示例详细阐述Orchestrator 这一功能强大且灵活的工具部署方式,希望学习mysql和k8s的同学提供帮助
k8s API资源对象
巧克力人生的博客
09-06 604
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
k8s控制器
qq_67442238的博客
09-05 1005
已经搭好的harbor仓库scp ca.crt root@172.25.250.120:/etc/docker/certs.d/bwmis.org/ ##发送证书##禁止swap磁盘的使用[k8s]name=k8sgpgcheck=0。
KubernetesK8s 的安全框架和用户认证
书山有路,学海无涯。记录成长,追逐梦想
09-08 862
Kubernetes 作为一个分布式的虚拟化集群管理工具,保证其集群的安全性就显得非常重要。由于 API Server 是访问集群资源的唯一入口,因此 Kubernetes 的安全机制都是围绕保护 API Server 来设计的。
KubernetesK8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 734
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件的每一行都是一个策略(即一个 JSON 对象)。
K8s的Pv和Pvc就是为了pod数据持久化
Alone8046的博客
09-05 1104
2.pvc:用户对存储资源的请求,定义了需要存储的空间大小,以及对存储空间的访问模式,有了pvc请求之后,再和pv进行匹配,匹配到了之后进行绑定,绑定成功之后就可以使用pv的存储空间。Retain:默认策略(手动),就是保留,虽然pvc被删除,但是pv还是处于released的状态,及时恢复到available状态,上一个挂载的数据也不会丢失。1.配置定义pvc请求的详细情况--------->匹配pv-------->绑定-------->使用------->释放------>回收pv。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1348
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
k8s的应用
m0_73671133的博客
09-05 1537
root@k8s-master ~]# kubeadm init --config /root/new.yaml --upload-certs //内存必须大点,4。设置为0表示不产生panic,设置为1表示产生panic。设置为0表示不产生panic,设置为1表示产生panic。image-endpoint: unix:///run/containerd/containerd.sock # 指定了镜像运⾏时的地址为:unix://...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

子非鱼2020

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值