Skip to Content
集群日志使用 ELK 自建 UK8S 日志解决方案

使用ELK自建UK8S日志解决方案

下面我们介绍下如何使用Elasticsearch+Filebeat+Kibana来搭建UK8S日志解决方案。

一、部署Elasticsearch

1. 关于Elasticsearch

Elasticsearch(ES)是一个基于Lucene构建的开源、分布式、RESTful接口的全文搜索引擎。Elasticsearch还是一个分布式文档数据库,其中每个字段均可被索引,而且每个字段的数据均可被搜索,ES能够横向扩展至数以百计的服务器存储以及处理PB级的数据。可以在极短的时间内存储、搜索和分析大量的数据。通常作为具有复杂搜索场景情况下的核心发动机

2. 环境要求

Elasticsearch运行时要求vm.max_map_count内核参数必须大于262144,因此开始之前需要确保这个参数正常调整过。

sysctl -w vm.max_map_count=262144

也可以在ES的的编排文件中增加一个initContainer来修改内核参数,但这要求kublet启动的时候必须添加了—allow-privileged参数,uk8s默认开启了该参数,在后面的示例中采用initContainer的方式。

3. ES节点角色

ES的节点Node可以分为几种角色:

Master-eligible node,是指有资格被选为Master节点的Node,可以统称为Master节点。设置node.master: true

Data node,存储数据的节点,设置方式为node.data: true。

Ingest node,进行数据处理的节点,设置方式为node.ingest: true。

Trible node,为了做集群整合用的。

对于单节点的Node,默认是master-eligible和data,对于多节点的集群,需要根据需求仔细规划每个节点的角色。

4. Elasticsearch部署

为了方便演示,我们把本文所有的对象资源都放置在一个名为 elk 的 namespace 下面,所以我们需要添加创建一个 namespace:

kubectl create namespace elk

不区分节点角色

这种模式下,集群中的节点不做角色的区分,配置文件请参考elk-cluster.yaml

bash-4.4# kubectl apply -f elk-cluster.yaml
deployment.apps/kb-single created
service/kb-single-svc created
statefulset.apps/es-cluster created
service/es-cluster-nodeport created
service/es-cluster created
bash-4.4# kubectl get po -n elk
NAME                         READY   STATUS    RESTARTS   AGE
es-cluster-0                 1/1     Running   0          2m18s
es-cluster-1                 1/1     Running   0          2m15s
es-cluster-2                 1/1     Running   0          2m12s
kb-single-69ddfc96f5-lr97q   1/1     Running   0          2m18s
bash-4.4# kubectl get svc -n elk
NAME                  TYPE           CLUSTER-IP      EXTERNAL-IP    PORT(S)                         AGE
es-cluster            ClusterIP      None            <none>         9200/TCP,9300/TCP               2m20s
es-cluster-nodeport   NodePort       172.17.177.40   <none>         9200:31200/TCP,9300:31300/TCP   2m20s
kb-single-svc         LoadBalancer   172.17.129.82   117.50.40.48   5601:38620/TCP                  2m20s
bash-4.4#

通过kb-single-svc的EXTERNAL-IP,便可以访问Kibana。

区分节点角色

如果需要区分节点的角色,就需要建立两个StatefulSet部署,一个是Master集群,一个是Data集群。Data集群的存储示例中简单使用了emptyDir,可以根据需要使用localStorage或者hostPath,关于存储的介绍,可以参考Kubernetes官网。这样就可以避免Data节点在本机重启时发生数据丢失而重建索引,但是如果发生迁移的话,如果想保留数据,只能采用共享存储的方案了。具体的编排文件在这里elk-role-cluster.yaml

bash-4.4# kubectl apply -f elk-role-cluster.yaml
deployment.apps/kb-single created
service/kb-single-svc created
statefulset.apps/es-cluster created
statefulset.apps/es-cluster-data created
service/es-cluster-nodeport created
service/es-cluster created
bash-4.4# kubectl get po -n elk
NAME                         READY   STATUS    RESTARTS   AGE
es-cluster-0                 1/1     Running   0          53s
es-cluster-1                 1/1     Running   0          50s
es-cluster-2                 1/1     Running   0          47s
es-cluster-data-0            1/1     Running   0          53s
es-cluster-data-1            1/1     Running   0          50s
es-cluster-data-2            1/1     Running   0          47s
kb-single-69ddfc96f5-lxsn8   1/1     Running   0          53s
bash-4.4# kubectl get statefulset -n elk
NAME              READY   AGE
es-cluster        3/3     2m
es-cluster-data   3/3     2m
bash-4.4# kubectl get svc -n elk
NAME                  TYPE           CLUSTER-IP      EXTERNAL-IP    PORT(S)                         AGE
es-cluster            ClusterIP      None            <none>         9200/TCP,9300/TCP               44s
es-cluster-nodeport   NodePort       172.17.63.138   <none>         9200:31200/TCP,9300:31300/TCP   44s
kb-single-svc         LoadBalancer   172.17.183.59   117.50.92.74   5601:32782/TCP

二、部署FileBeat

在进行日志收集的过程中,我们首先想到的是使用Logstash,因为它是ELK stack中的重要成员,但是在测试过程中发现,Logstash是基于JDK的,在没有产生日志的情况单纯启动Logstash就大概要消耗500M内存,在每个Pod中都启动一个日志收集组件的情况下,使用logstash有点浪费系统资源,因此我们更推荐一个轻量级的日志采集工具Filebeat,经测试单独启动Filebeat容器大约只会消耗12M内存。 具体的编排文件可以参考filebeat.yaml,本例采用DaemonSet的方式编排。

bash-4.4# kubectl apply -f filebeat.yaml
configmap/filebeat-config created
daemonset.extensions/filebeat created
clusterrolebinding.rbac.authorization.k8s.io/filebeat created
clusterrole.rbac.authorization.k8s.io/filebeat created
serviceaccount/filebeat created

编排文件中将filebeat使用到的配置ConfigMap挂载到/home/uk8s-filebeat/filebeat.yaml,实际启动filebeat时使用该自定义配置。有关filebeat的配置可以参见 Configuring Filebeat中相应的说明。

Filebeat命令行参数可以参考 Filebeat Command Reference,本例中使用到的参数说明如下:

  • -c, —c FILE

指定Filebeat使用的配置文件,如果不指定则使用默认的配置文件/usr/share/filebeat/filebeat.yaml

  • -d, —d SELECTORS

为指定的selectors打开调试模式, selectors是以逗号分隔的列表,-d ”*” 表示对所有组件进行调试。在实际生产环境中请关闭该选项,初次配置时打开可以有效排错。

  • -e, —e

指定日志输出到标准错误输出,关闭默认的syslog/file输出

三、部署Logstash(可选)

由于Filebeat对message的过滤功能有限,在实际生产环境中通常会结合logstash。这种架构中Filebeat作为日志收集器,将数据发送到Logstash,经过Logstash解析、过滤后,将其发送到Elasticsearch存储,并由Kibana呈献给用户。

1、创建配置文件

创建Logstash的配置文件,可以参考elk-log.conf,更详细的配置信息见Configuring Logstash。大部分Logstash配置文件都可以分为3部分:input, filter 和 output,示例配置文件中指定Logstash从Filebeat获取数据,并输出到Elasticsearch。

2、根据配置文件创建一个名为elk-pipeline-config的ConfigMap,如下:

bash-4.4# kubectl create configmap elk-pipeline-config --from-file=elk-log.conf --namespace=elk
configmap/elk-pipeline created
bash-4.4# kubectl get configmap -n elk
NAME                  DATA   AGE
elk-pipeline-config   1      9s
filebeat-config       1      21m

3、在K8S集群部署logstash。

编写 logstash.yaml ,在yaml文件中挂载之前创建的ConfigMap。需要注意的是,此处使用了logstash-oss镜像,关于oss和non-oss版本的区别请参考链接

bash-4.4# kubectl apply -f logstash.yaml
deployment.extensions/elk-log-pipeline created
service/elk-log-pipeline created
bash-4.4# kubectl get po -n elk
NAME                                READY   STATUS    RESTARTS   AGE
elk-log-pipeline-55d64bbcf4-9v49w   1/1     Running   0          50m

4、查看logstash是否正常工作,出现如下内容,则表明logstash正常工作

bash-4.4# kubectl logs -f elk-log-pipeline-55d64bbcf4-9v49w -n elk
[2019-03-19T08:56:03,631][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}
...
[2019-03-19T08:56:09,845][INFO ][logstash.inputs.beats    ] Beats inputs: Starting input listener {:address=>"0.0.0.0:5044"}
[2019-03-19T08:56:09,934][INFO ][logstash.pipeline        ] Pipeline started succesfully {:pipeline_id=>"main", :thread=>"#<Thread:0x77d5c9b5 run>"}
[2019-03-19T08:56:10,034][INFO ][org.logstash.beats.Server] Starting server on port: 5044

5、修改 filebeat.yaml的output参数,将其输出指向Logstash

items:
- apiVersion: v1
  kind: ConfigMap
  metadata:
    ...
  data:
    filebeat.yml: |
     ...
      output.logstash:
        hosts: ["elk-log-pipeline:5044"]
     ...

四、收集应用日志

前面我们已经部署好了Filebeat用于采集应用日志,并将采集到的日志输出到Elasticsearch,下面我们以一个nginx应用为例,来测试日志能否正常采集、索引、展示。

1、部署nginx应用

创建一个Nginx的部署和LoadBalancer服务,这样可以通过eip访问Nginx。我们将Nginx访问日志的输出路径以hostPath的形式挂载到宿主的/var/log/nginx/路径下。

bash-4.4# kubectl apply -f nginx.yaml
deployment.apps/nginx-deployment unchanged
service/nginx-cluster configured
bash-4.4# kubectl get svc -n elk nginx-cluster
NAME            TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)          AGE
nginx-cluster   LoadBalancer   172.17.153.144   117.50.25.74   5680:48227/TCP   19m
bash-4.4# kubectl get po -n elk -l app=nginx
NAME                                READY   STATUS    RESTARTS   AGE
nginx-deployment-6c858858d5-7tcbx   1/1     Running   0          36m
nginx-deployment-6c858858d5-9xzh8   1/1     Running   0          36m

2、Filebeat配置

在之前部署Filebeat时,由于我们已经将/var/log/nginx/加入到inputs.paths中,Filebeat已经可以对nginx的日志实现监控采集。

filebeat.modules:
     - module: system
     filebeat.inputs:
     - type: log
       paths:
         - /var/log/containers/*.log
         - /var/log/messages
         - /var/log/nginx/*.log
         - /var/log/*
       symlinks: true
       include_lines: ['hyperkube']
     output.logstash:
       hosts: ["elk-log-pipeline:5044"]
     logging.level: info
     index: filebeat-

3、通过公网访问nginx服务,产生访问日志

4、通过Kibana验证日志的采集情况

监控相关常见问题使用 UK8S 日志插件功能