pod日志采集方案

方案選型

1. DaemonSet+Elastic Agent方案：使用DaemonSet控制器在每個kubernetes集群節點上運行elastic agent服務，業務容器日志目錄統一掛載到節點指定目錄下。在fleet中配置集成Custom Logs集成策略，指定日志采集目錄和ingest pipeline，實現自定義路徑下的日志收集和清理操作。
2. DaemonSet+filebeat+logstash方案：通過DaemonSet方式在每個kubernetes集群節點上運行filebeat服務。以容器運行時containerd為例，配置filebeat輸入路徑為/var/log/containers/<kubernetes.container.id>.log，輸出路徑為logstash。并在logstash中配置規則提取container名稱變量，然后在logstash輸出中引用container名稱變量，以此來實現寫入到es的不同index中。
3. sidecar+fluentd方案：每個業務容器中通過sidecar方式運行一個fluentd日志采集處理容器，Fluentd是一個開源的數據收集器，專為處理數據流設計，使用JSON作為數據格式。它采用了插件式的架構，具有高可擴展性高可用性，同時還實現了高可靠的信息轉發。由于logstash處理性能較弱且占用資源較高，可以通過fluentd一個組件替代filebeat+logstash的功能，從而簡化日志采集流程與配置。
4. sidecar+filebeat+kafka+logstash方案：每個業務容器中通過sidecar方式運行一個filebeat日志采集容器，用于采集業務容器產生的日志并輸出到kafka中。借助Kafka的Consumer Group技術可部署多個logstash副本，提升數據處理能力和高可用性。需要注意的是每個consumer最多只能使用一個partition，當一個Group內consumer的數量大于partition的數量時，只有等于partition個數的consumer能同時消費，其他的consumer處于等待狀態。因此想要增加logstash的消費性能，可以適當的增加topic的partition數量，但kafka中partition數量過多也會導致kafka集群故障恢復時間過長。

適用場景

在小規模日志場景下，首選DaemonSet+Elastic Agent方案采集pod日志，我們只需要調整集成策略的采集日志路徑和ingest pipeline管道處理規則即可，集群性能瓶頸取決于ingest節點性能。 Mml28資訊網——每日最新資訊28at.com

在大規模日志場景下，推薦使用sidecar+fluentd方案，由fluentd實現日志的采集與過濾處理后直接寫入ES集群，集群性能瓶頸取決于es集群hot節點性能。 Mml28資訊網——每日最新資訊28at.com

在超大規模且業務存在瞬間高峰的日志場景下，推薦使用sidecar+filebeat+kafka+logstash方案。可將日志內容暫存到kafka消息隊列中，由logstash集群逐個消費并寫入ES，防止瞬間高峰導致直接寫入ES失敗，集群性能瓶頸取決于logstash節點性能。Mml28資訊網——每日最新資訊28at.com

注意事項

應用日志應配置日志輪換以防止日志文件無限增長并占用過多的磁盤空間。通過設置日志輪換參數，可以控制日志文件的大小、保留的日志文件數量以及輪換的頻率。這種做法可以高效管理日志，避免磁盤空間問題。Mml28資訊網——每日最新資訊28at.com

部署模擬日志程序

項目地址

代碼倉庫地址：https://gitee.com/cuiliang0302/log_demoMml28資訊網——每日最新資訊28at.com

日志格式

模擬常見的后端服務日志，格式如下Mml28資訊網——每日最新資訊28at.com

2023-07-23 09:35:18.987 | INFO     | __main__:debug_log:49 - {'access_status': 200, 'request_method': 'GET', 'request_uri': '/account/', 'request_length': 67, 'remote_address': '186.196.110.240', 'server_name': 'cu-36.cn', 'time_start': '2023-07-23T09:35:18.879+08:00', 'time_finish': '2023-07-23T09:35:19.638+08:00', 'http_user_agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.2999.0 Safari/537.36'}2023-07-23 09:35:19.728 | WARNING  | __main__:debug_log:47 - {'access_status': 403, 'request_method': 'PUT', 'request_uri': '/public/', 'request_length': 72, 'remote_address': '158.113.125.213', 'server_name': 'cu-35.cn', 'time_start': '2023-07-23T09:35:18.948+08:00', 'time_finish': '2023-07-23T09:35:20.343+08:00', 'http_user_agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.2999.0 Safari/537.36'}2023-07-23 09:35:19.793 | INFO     | __main__:debug_log:49 - {'access_status': 200, 'request_method': 'GET', 'request_uri': '/public/', 'request_length': 46, 'remote_address': '153.83.121.71', 'server_name': 'cm-17.cn', 'time_start': '2023-07-23T09:35:19.318+08:00', 'time_finish': '2023-07-23T09:35:20.563+08:00', 'http_user_agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:57.0) Gecko/20100101 Firefox/57.0'}2023-07-23 09:35:20.614 | ERROR    | __main__:debug_log:45 - {'access_status': 502, 'request_method': 'GET', 'request_uri': '/public/', 'request_length': 62, 'remote_address': '130.190.246.56', 'server_name': 'cu-34.cn', 'time_start': '2023-07-23T09:35:20.061+08:00', 'time_finish': '2023-07-23T09:35:21.541+08:00', 'http_user_agent': 'Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Hot Lingo 2.0)'}

打包并上傳鏡像

[root@es-master ~]# cd /opt/[root@es-master opt]# git clone https://gitee.com/cuiliang0302/log_demo.git[root@es-master opt]# cd log_demo/[root@es-master log_demo]# lsDockerfile  log.py  main.py  readme.md  requirements.txt[root@es-master log_demo]# docker build -t harbor.local.com/app/log_demo:1.0 .[root@es-master log_demo]# docker push harbor.local.com/app/log_demo:1.0

部署服務

在本案例中，我們將容器日志目錄通過hostPath方式掛載到宿主機的/var/log/logDemo路徑下。Mml28資訊網——每日最新資訊28at.com

[root@tiaoban fleet]# cat log-demo.yaml apiVersion: apps/v1kind: Deploymentmetadata:  name: log-demospec:  replicas: 2  selector:    matchLabels:      app: log-demo  template:    metadata:      labels:        app: log-demo    spec:      containers:      - name: log-demo        image: harbor.local.com/app/log_demo:1.0        resources:          requests:            memory: "32Mi"            cpu: "100m"          limits:            memory: "128Mi"            cpu: "500m"        volumeMounts:          - mountPath: /opt/logDemo/log            name: logs      volumes:        - name: logs          hostPath:            path: /var/log/logDemo            type: DirectoryOrCreate[root@tiaoban fleet]# kubectl apply -f log-demo.yaml deployment.apps/log-demo created[root@tiaoban fleet]# kubectl get pod -o wideNAME                        READY   STATUS    RESTARTS       AGE     IP             NODE    NOMINATED NODE   READINESS GATESlog-demo-76c57cf9dc-9znrd   1/1     Running   0              2m45s   10.244.3.124   work3   <none>           <none>log-demo-76c57cf9dc-lkvrq   1/1     Running   0              2m45s   10.244.4.158   work2   <none>           <none>

配置代理采集日志

創建集成策略

日志路徑填寫掛載到Elastic agent的日志路徑，即/var/log/logDemo/info.log，代理策略選擇現有的Elastic Agent on ECK policy。Mml28資訊網——每日最新資訊28at.com

圖片Mml28資訊網——每日最新資訊28at.com

自定義ingest處理

在先前的自定義日志采集(fleet方式)中已有詳細講解，具體內容可參考文檔https://www.cuiliangblog.cn/detail/article/62，此處不再贅述。Mml28資訊網——每日最新資訊28at.com

多應用采集思路

通常情況下我們需要采集多個自定義應用的日志內容，我們只需要保證應用日志目錄均掛載至宿主機/var/log目錄下，然后配置fleet代理策略，指定對應的日志路徑和名稱以及ingest pipeline即可。Mml28資訊網——每日最新資訊28at.com

圖片Mml28資訊網——每日最新資訊28at.com

如下所示，我們需要采集myapp和springboot兩個應用的日志，只需要添加多條Custom logs集成策略即可。Mml28資訊網——每日最新資訊28at.com

圖片Mml28資訊網——每日最新資訊28at.com

博客地址：https://www.cuiliangblog.cn/Mml28資訊網——每日最新資訊28at.com

本文鏈接：http://www.tebozhan.com/showinfo-26-14621-0.htmlELK Stack生產實踐——pod日志采集（Elastic Agent方案）

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： Python高頻面試題——如何在字符串中刪除指定字符

下一篇： Go并發可視化解釋：sync.WaitGroup