iLogtail社区版使用入门 - 使用DaemonSet模式采集K8s容器日志

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 本文介绍K8s的日志架构,并通过利用K8s提供的基础能力完成数据驱动应用架构的第一步,使用iLogtail将日志统一采集写入Kafka。iLogtail已经完整开源,期望同众多开发者一起将iLogtail打造成世界一流的可观测数据采集器。

iLogtail是阿里云日志服务(SLS)团队自研的可观测数据采集Agent,拥有的轻量级、高性能、自动化配置等诸多生产级别特性,可以署于物理机、虚拟机、Kubernetes等多种环境中来采集遥测数据。iLogtail在阿里云上服务了数万家客户主机和容器的可观测性采集工作,在阿里巴巴集团的核心产品线,如淘宝、天猫、支付宝、菜鸟、高德地图等也是默认的日志、监控、Trace等多种可观测数据的采集工具。目前iLogtail已有千万级的安装量,每天采集数十PB的可观测数据,广泛应用于线上监控、问题分析/定位、运营分析、安全分析等多种场景,在实战中验证了其强大的性能和稳定性。

在当今云原生的时代,我们坚信开源才是iLogtail最优的发展策略,也是释放其最大价值的方法。因此,我们决定将iLogtail开源,期望同众多开发者一起将iLogtail打造成世界一流的可观测数据采集器。

K8s的日志架构

日志对于构建数据驱动的应用架构至关重要。在Kubernetes分布式的容器环境中,各个业务容器的日志四处散落,用户往往希望拥有一个中心化的日志管理方案,以使不同应用、格式各异的相关日志能够一起进行处理分析。K8s已经为此提供了必备的基础资源和设施。本文将简要介绍K8s的日志架构并演示如何通过iLogtail统一采集日志。

K8s官方推荐的日志架构为将应用的日志输出到标准输出流(stdout)或标准错误流(stderr),然后由Docker或Containerd+Kubelet对日志输出进行重定向存储管理。Kubernetes提供了kubectl logs命令供用户查询日志,该命令同时可接受-p/--previous参数查询最近一个退出的容器实例日志,该参数在排查崩溃或重启的容器时尤其有用。

然而,如果pod从节点上被删除或节点崩溃,那么其下所有容器的日志将一并丢失,用户将无法再查询这些日志。为了避免这种情况,用户应该使用与业务容器和节点生命周期独立的日志采集和存储系统。Kubenertes没有原生提供这样的解决方案,但通过Kubernetes API和controllers用户可以使用偏好的日志组件自行搭建。

K8s采集日志的几种方式

大体上,在当前的K8s架构中采集日志通常有以下几种常见方式:

  1. 在每个节点上部署日志采集Agent
  2. 使用sidecar模式在业务Pod内部署日志采集容器
  3. 在业务应用内直接向服务端发送日志

这里我们仅讨论第一种方式。

在每个节点上部署日志采集Agent

在这种方式下,日志采集Agent通常以一个能访问节点上所有日志的容器存在。通常生产集群有很多节点,每个节点都需要部署一个采集Agent。面对这种情况,最简单的部署方式是直接只用K8s提供的Deployment进行容器编排。DaemonSet controller会定期检查节点的变化情况,并自动保证每个节点上有且只有一个采集Agent容器。

使用DaemonSet方式采集K8s日志有以下优点,通常是首选被广泛使用:

  1. 占用节点资源较少,也不随业务容器数量增加而变多
  2. 对业务应用无侵入,新接入应用无需改造适配
  3. 单个节点上的日志聚合发送,对接收端更加友好

然而这种方式也存在一些限制:

  1. 无法支持采集业务容器中挂载的所有类型PVC目录,如挂载了云盘
  2. 无法支持采集所有类型的容器运行时,如Kata
  3. 无法支持超出单Agent采集能力的日志流量,如1GB/s

若遇到上述情况则应考虑其他采集方式。

理解iLogtail采集容器日志原理

iLogtail支持全场景的容器数据采集,包括Docker和K8s环境。iLogtail通过docker_center插件与节点上的容器运行时进行通信,发现节点的容器列表并维护容器和日志采集路径映射。然后,对于容器标准输出,iLogtail使用input_docker_stdout插件对日志进行采集,包括容器筛选和多行切分等步骤;对于容器文件则使用input_docker_event插件结合C++内核实现,前者负责容器筛选,后者提供高效的文件发现、采集能力。iLogtail支持DaemonSet、Sidecar、CRD等多种部署方式,为应对不同使用场景提供了灵活的部署能力。而iLogtail采用全局容器列表和通过Kubernetes CRI协议获取容器信息的设计,使其在权限和组件依赖上相比其他开源更加轻量级,并且拥有更高的采集效率。

iLogtail支持使用容器标签、环境变量、K8s标签、Pod名称、命名空间等多种方式进行容器筛选,为容器日志采集提供了极强的灵活性。

容器筛选

黑名单或白名单

  • 容器Label
  • K8s Label
  • 环境变量

正则匹配

  • K8s Namespace名称
  • K8s Pod名称
  • 容器名称

数据处理

  • 支持采集多行日志(例如Java Stack日志等)。
  • 支持自动关联Kubernetes Label信息。
  • 支持自动关联容器Meta信息(例如容器名、IP、镜像、Pod、Namespace、环境变量等)。
  • 支持自动关联宿主机Meta信息(例如宿主机名、IP、环境变量等)。

部署iLogtail采集业务日志到Kafka

这部分将完成数据驱动应用架构的第一步,将日志统一采集写入Kafka。本章节所使用的配置可在GitHub下载,容器标准输出插件详细配置可移步iLogtail用户手册

前提条件

  1. K8s集群的搭建和具备访问K8s集群的kubectl
  2. Kafka的搭建和具备访问Kafka的consumer client
  3. 已经创建了名为access-log的topic

第一步,创建命名空间和配置文件

推荐将iLogtail部署在独立的命名空间站以便管理。

apiVersion: v1
kind: Namespace
metadata:  name: ilogtail
kubectl apply -f ilogtail-ns.yaml

当前iLogtail社区版暂时不支持配置热加载,因此这里我们先创建配置,后启动iLogtail容器。若后续需要更改,可以修改configmap后,重启ilogtail的pod/container使其生效。

apiVersion: v1
kind: ConfigMap
metadata:  name: ilogtail-user-cm
  namespace: ilogtail
data:  nginx_stdout.yaml: |    enable: true    inputs:      - Type: service_docker_stdout        Stderr: false        Stdout: true        IncludeK8sLabel:          app: nginx    flushers:      - Type: flusher_kafka        Brokers:          - <kafka_host>:<kafka_port>        Topic: access-log  nginx_stderr.yaml: |    enable: true    inputs:      - Type: service_docker_stdout        Stderr: true        Stdout: false        K8sNamespaceRegex: "^(default)$"        K8sPodRegex: "^(nginx-.*)$"        K8sContainerRegex: "nginx"    flushers:      - Type: flusher_kafka        Brokers:          - <kafka_host>:<kafka_port>        Topic: error-log
kubectl apply -f ilogtail-user-configmap.yaml

这里的ConfigMap期望以文件夹的方式挂载到iLogtail容器中作为采集配置目录,因此可以包含多个iLogtail采集配置文件,第7行起到最后19行为一个采集配置,将nginx的标准输出采集到Kafka access-log主题,10-33为另一个采集配置,将nginx的标准错误输出到Kafka error-log主题。

第13-14和26-28行展示了如何为日志采集筛选容器,前者使用Kubernetes Label作为筛选条件,后者则使用了Namespace、Pod和Container名称作筛选,所有支持的配置项可以参考iLogtail用户手册中的容器标准输出

第二步,部署iLogtail DaemonSet

apiVersion: apps/v1
kind: DaemonSet
metadata:  name: ilogtail-ds
  namespace: ilogtail
  labels:    k8s-app: logtail-ds
spec:  selector:    matchLabels:      k8s-app: logtail-ds
  template:    metadata:      labels:        k8s-app: logtail-ds
    spec:      tolerations:      - key: node-role.kubernetes.io/master
        effect: NoSchedule
      containers:      - name: logtail
        env:          - name: cpu_usage_limit
            value: "1"          - name: mem_usage_limit
            value: "512"        image: >-
          sls-opensource-registry.cn-shanghai.cr.aliyuncs.com/ilogtail-community-edition/ilogtail:latest
        imagePullPolicy: IfNotPresent
        resources:          limits:            cpu: 1000m
            memory: 1Gi
          requests:            cpu: 400m
            memory: 384Mi
        volumeMounts:          - mountPath: /var/run
            name: run
          - mountPath: /logtail_host
            mountPropagation: HostToContainer
            name: root
            readOnly: true          - mountPath: /usr/local/ilogtail/checkpoint
            name: checkpoint
          - mountPath: /usr/local/ilogtail/user_yaml_config.d
            name: user-config
            readOnly: true      dnsPolicy: ClusterFirst
      hostNetwork: true      volumes:        - hostPath:            path: /var/run
            type: Directory
          name: run
        - hostPath:            path: /
            type: Directory
          name: root
        - hostPath:            path: /lib/var/ilogtail-ilogtail-ds/checkpoint
            type: DirectoryOrCreate
          name: checkpoint
        - configMap:            defaultMode: 420            name: ilogtail-user-cm
          name: user-config
kubectl apply -f ilogtail-deployment.yaml

配置文件的17-19行定义了部署节点的容忍性:不在master节点部署。

23-26通过容器环境变量对iLogtail进行了系统配置,这里配置了cpu和memory上限。完整的系统配置说明可以参考iLogtail用户手册中的系统参数

31-36行定义了采集Agent容器允许使用的资源范围。若需要采集的日志文件数量很多,则需要适当地放宽资源限制。

配置文件的38-48行挂载了一些目录,说明如下:

/var/run:iLogtail与容器运行时通信的socket

/logtail_host:iLogtail通过挂载主机目录获取节点上所有容器的日志

/usr/local/ilogtail/checkpoint:将状态持久化到主机磁盘,iLogtail容器重启不丢失

/usr/local/ilogtail/user_yaml_config.d:将configmap中的配置挂载到容器中

第三步,部署Nginx,发送测试请求并验证

apiVersion: apps/v1
kind: Deployment
metadata:  name: nginx
  namespace: default
  labels:    app: nginx
spec:  replicas: 1  selector:    matchLabels:      app: nginx
  template:    metadata:      labels:        app: nginx
    spec:      containers:        - image: 'nginx:latest'          name: nginx
          ports:            - containerPort: 80              name: http
              protocol: TCP
          resources:            requests:              cpu: 100m
              memory: 100Mi
kubectl apply -f nginx-mock-deployment.yaml

启动Kafka消费端开始观察日志:

# In Terminal 1bin/kafka-console-consumer.sh --topic access-log --bootstrap-server <kafka_host>:<kafka_port>
# In Terminal 2bin/kafka-console-consumer.sh --topic error-log --bootstrap-server <kafka_host>:<kafka_port>

给nginx发送几条测试请求,如:

kubectl exec nginx-76d49876c7-r892w --curl localhost/hello/ilogtail

查看Kafka消费端应该已经有日志输出了。从日志中同时可以看到,iLogtail默认对采集的日志进行了必要的标注如_source_标注了日志是标准输出还是标准错误流的,_container_name_、_container_name_、_container_ip_标注了日志来源的容器。

# In Terminal 1{"Time":1657727155,"Contents":[{"Key":"content","Value":"::1 - - [13/Jul/2022:15:45:54 +0000] \"GET /hello/ilogtail HTTP/1.1\" 404 153 \"-\" \"curl/7.74.0\" \"-\""},{"Key":"_time_","Value":"2022-07-13T23:45:54.976593653+08:00"},{"Key":"_source_","Value":"stdout"},{"Key":"_image_name_","Value":"docker.io/library/nginx:latest"},{"Key":"_container_name_","Value":"nginx"},{"Key":"_pod_name_","Value":"nginx-76d49876c7-r892w"},{"Key":"_namespace_","Value":"default"},{"Key":"_pod_uid_","Value":"07f75a79-da69-40ac-ae2b-77a632929cc6"},{"Key":"_container_ip_","Value":"10.223.0.154"}]}
# In Terminal 2{"Time":1657727190,"Contents":[{"Key":"content","Value":"2022/07/13 15:46:29 [error] 32#32: *6 open() \"/usr/share/nginx/html/hello/ilogtail\" failed (2: No such file or directory), client: ::1, server: localhost, request: \"GET /hello/ilogtail HTTP/1.1\", host: \"localhost\""},{"Key":"_time_","Value":"2022-07-13T23:45:54.976593653+08:00"},{"Key":"_source_","Value":"stderr"},{"Key":"_image_name_","Value":"docker.io/library/nginx:latest"},{"Key":"_container_name_","Value":"nginx"},{"Key":"_pod_name_","Value":"nginx-76d49876c7-r892w"},{"Key":"_namespace_","Value":"default"},{"Key":"_pod_uid_","Value":"07f75a79-da69-40ac-ae2b-77a632929cc6"},{"Key":"_container_ip_","Value":"10.223.0.154"}]}

第四步,配置正则解析,结构化日志

未经处理的原始日志使用不便、可读性较差,可以利用iLogtail内置的端上处理能力使日志结构化。

替换ilogtail-user-configmap.yaml的1-19行,保存为ilogtail-user-configmap-processor.yaml。

nginx_stdout.yaml: |    enable: true    inputs:      - Type: service_docker_stdout        Stderr: false        Stdout: true        IncludeK8sLabel:          app: nginx    processors:      - Type: processor_regex        SourceKey: content        Regex: '([\d\.:]+) - (\S+) \[(\S+) \S+\] \"(\S+) (\S+) ([^\\"]+)\" (\d+) (\d+) \"([^\\"]*)\" \"([^\\"]*)\" \"([^\\"]*)\"'        Keys:          - remote_addr          - remote_user          - time_local          - method          - path          - protocol          - status          - body_bytes_sent          - http_referer          - http_user_agent          - http_x_forwarded_for    flushers:      - Type: flusher_kafka        Brokers:          - <kafka_host>:<kafka_port>        Topic: access-log
kubectl apply -f ilogtail-user-configmap-processor.yaml

重启iLogtail容器使其生效。

kubectl exec -n ilogtail ilogtail-ds-krm8t -- /bin/sh -c"kill 1"

再次发送测试请求,观察Kafka消费端access-log主题输出。稍加格式化,可以看到每一条记录都进行了字段提取,成为了易读易用的结构化的日志。

{"Time":1657729579,"Contents":[
{"Key":"_time_","Value":"2022-07-14T00:26:19.304905535+08:00"},
{"Key":"_source_","Value":"stdout"},
{"Key":"_image_name_","Value":"docker.io/library/nginx:latest"},
{"Key":"_container_name_","Value":"nginx"},
{"Key":"_pod_name_","Value":"nginx-76d49876c7-r892w"},
{"Key":"_namespace_","Value":"default"},
{"Key":"_pod_uid_","Value":"07f75a79-da69-40ac-ae2b-77a632929cc6"},
{"Key":"_container_ip_","Value":"10.223.0.154"},
{"Key":"remote_addr","Value":"::1"},
{"Key":"remote_user","Value":"-"},
{"Key":"time_local","Value":"13/Jul/2022:16:26:19"},
{"Key":"method","Value":"GET"},
{"Key":"url","Value":"/hello/ilogtail"},
{"Key":"protocol","Value":"HTTP/1.1"},
{"Key":"status","Value":"404"},
{"Key":"body_bytes_sent","Value":"153"},
{"Key":"http_referer","Value":"-"},
{"Key":"http_user_agent","Value":"curl/7.74.0"},
{"Key":"http_x_forwarded_for","Value":"-"}]}

采集容器内的文件

某些应用选择将日志打印在容器内使用自带的日志机制进行轮转,iLogtail也支持这种场景的日志采集。这里我们以采集json格式日志为例。

前提条件和对iLogtail DaemonSet的部署不再赘述,仅关注配置和验证过程。

第一步,配置容器日志采集

ilogtail-user-configmap.yaml

apiVersion: v1
kind: ConfigMap
metadata:  name: ilogtail-user-cm
  namespace: ilogtail
data:  json_log.yaml: |    enable: true    inputs:      - Type: file_log        LogPath: /root/log        FilePattern: "json.log"        DockerFile: true        DockerIncludeLabel:          io.kubernetes.container.name: json-log    processors:      - Type: processor_json        SourceKey: content        KeepSource: false        ExpandDepth: 1        ExpandConnector: ""    flushers:      - Type: flusher_kafka        Brokers:          - <kafka_host>:<kafka_port>        Topic: json-log

第13行表明采集的文件来自容器内,14-15行使用容器名对目标容器进行筛选。17-21行使用了json处理插件对日志进行结构化解析。

kubectl apply -f ilogtail-user-configmap.yaml

重启iLogtail容器使其生效。

kubectl exec -n ilogtail ilogtail-ds-krm8t -- /bin/sh -c"kill 1"

第二步,部署测试容器,生成日志并验证

json-log-deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:  labels:    app: json-log
  name: json-log
  namespace: default
spec:  replicas: 1  selector:    matchLabels:      app: json-log
  template:    metadata:      labels:        app: json-log
    spec:      containers:        - args:            - >-
              mkdir -p /root/log; while true; do date +'{"time":"+%Y-%m-%d              %H:%M:%S","message":"Hello, iLogtail!"}' >>/root/log/json.log;              sleep 10; done
          command:            - /bin/sh
            - '-c'            - '--'          image: 'alpine:3.9.6'          name: json-log
          volumeMounts:            - mountPath: /etc/localtime
              name: volume-localtime
      volumes:        - hostPath:            path: /etc/localtime
            type: ''          name: volume-localtime
kubectl apply -f json-log-deployment.yaml

启动Kafka消费端开始观察日志:

bin/kafka-console-consumer.sh --topic json-log --bootstrap-server <kafka_host>:<kafka_port>

可以看到消费端已经有日志输出,并且进行了结构化解析:

{"Time":1658341942,"Contents":[
  {"Key":"__tag__:__path__","Value":"/root/log/json.log"},
  {"Key":"__tag__:__user_defined_id__","Value":"default"},
  {"Key":"__tag__:_container_ip_","Value":"10.223.0.189"},
  {"Key":"__tag__:_image_name_","Value":"docker.io/library/alpine:3.9.6"},{"Key":"__tag__:_container_name_","Value":"json-log"},
  {"Key":"__tag__:_pod_name_","Value":"json-log-5df95f9f84-dhj2l"},
  {"Key":"__tag__:_namespace_","Value":"default"},
  {"Key":"__tag__:_pod_uid_","Value":"e42818ef-75c4-4854-9fe0-4dd7c7f7ccd1"},
  {"Key":"time","Value":"+2022-07-21 02:32:22"},
  {"Key":"message","Value":"Hello, iLogtail!"}]}

总结

以上,我们演示了如何利用K8s提供的基础能力来快速搭建一套集群集采集日志的基础设施。我们利用了K8s的DaemonSet自动在每一个节点上部署iLogtail,使用了ConfigMap进行配置分发。强大的容器筛选能力和元信息处理能力使iLogtail成为采集K8s容器日志的最佳选择之一。未来我们将进一步开源iLogtail的K8s Operator,以CRD的形式管理配置,进一步强化K8s环境下对iLogtail的管控能力。

一套由数据驱动的应用架构,从数据采集到数据应用,数据采集只是开始,如果对数据的传输、存储、处理和查询有更高的要求也可以基于SLS构建高可用免运维的数据平台。

关于iLogtail

iLogtail作为阿里云SLS提供的可观测数据采集器,可以运行在服务器、容器、K8s、嵌入式等多种环境,支持采集数百种可观测数据(日志、监控、Trace、事件等),已经有千万级的安装量。目前,iLogtail已正式开源,欢迎使用及参与共建。

GitHub:https://github.com/alibaba/ilogtail

官网:https://help.aliyun.com/document_detail/65018.html

钉钉群:iLogtail社区

相关文章
|
1月前
|
Kubernetes Cloud Native Docker
云原生时代的容器化实践:Docker和Kubernetes入门
【10月更文挑战第37天】在数字化转型的浪潮中,云原生技术成为企业提升敏捷性和效率的关键。本篇文章将引导读者了解如何利用Docker进行容器化打包及部署,以及Kubernetes集群管理的基础操作,帮助初学者快速入门云原生的世界。通过实际案例分析,我们将深入探讨这些技术在现代IT架构中的应用与影响。
102 2
|
16天前
|
人工智能 弹性计算 运维
ACK Edge与IDC:高效容器网络通信新突破
本文介绍如何基于ACK Edge以及高效的容器网络插件管理IDC进行容器化。
|
19天前
|
监控 NoSQL 时序数据库
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
164 77
|
6天前
|
存储 Kubernetes 开发者
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
Docker 是一种开源的应用容器引擎,允许开发者将应用程序及其依赖打包成可移植的镜像,并在任何支持 Docker 的平台上运行。其核心概念包括镜像、容器和仓库。镜像是只读的文件系统,容器是镜像的运行实例,仓库用于存储和分发镜像。Kubernetes(k8s)则是容器集群管理系统,提供自动化部署、扩展和维护等功能,支持服务发现、负载均衡、自动伸缩等特性。两者结合使用,可以实现高效的容器化应用管理和运维。Docker 主要用于单主机上的容器管理,而 Kubernetes 则专注于跨多主机的容器编排与调度。尽管 k8s 逐渐减少了对 Docker 作为容器运行时的支持,但 Doc
48 5
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
|
3天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
17天前
|
人工智能 运维 监控
阿里云ACK容器服务生产级可观测体系建设实践
本文整理自2024云栖大会冯诗淳(花名:行疾)的演讲,介绍了阿里云容器服务团队在生产级可观测体系建设方面的实践。冯诗淳详细阐述了容器化架构带来的挑战及解决方案,强调了可观测性对于构建稳健运维体系的重要性。文中提到,阿里云作为亚洲唯一蝉联全球领导者的容器管理平台,其可观测能力在多项关键评测中表现优异,支持AI、容器网络、存储等多个场景的高级容器可观测能力。此外,还介绍了阿里云容器服务在多云管理、成本优化等方面的最新进展,以及即将推出的ACK AI助手2.0,旨在通过智能引擎和专家诊断经验,简化异常数据查找,缩短故障响应时间。
阿里云ACK容器服务生产级可观测体系建设实践
|
23天前
|
监控 测试技术 开发者
一行代码改进:Logtail的多行日志采集性能提升7倍的奥秘
一个有趣的现象引起了作者的注意:当启用行首正则表达式处理多行日志时,采集性能出现下降。究竟是什么因素导致了这种现象?本文将探索Logtail多行日志采集性能提升的秘密。
|
18天前
|
运维 Kubernetes 调度
阿里云容器服务 ACK One 分布式云容器企业落地实践
阿里云容器服务ACK提供强大的产品能力,支持弹性、调度、可观测、成本治理和安全合规。针对拥有IDC或三方资源的企业,ACK One分布式云容器平台能够有效解决资源管理、多云多集群管理及边缘计算等挑战,实现云上云下统一管理,提升业务效率与稳定性。
|
1月前
|
存储 Kubernetes Docker
【赵渝强老师】Kubernetes中Pod的基础容器
Pod 是 Kubernetes 中的基本单位,代表集群上运行的一个进程。它由一个或多个容器组成,包括业务容器、基础容器、初始化容器和临时容器。基础容器负责维护 Pod 的网络空间,对用户透明。文中附有图片和视频讲解,详细介绍了 Pod 的组成结构及其在网络配置中的作用。
【赵渝强老师】Kubernetes中Pod的基础容器
|
29天前
|
运维 Kubernetes Docker
深入理解容器化技术:Docker与Kubernetes的协同工作
深入理解容器化技术:Docker与Kubernetes的协同工作
51 1

相关产品

  • 容器服务Kubernetes版