本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Fargate 日志记录
Amazon EKS 与 Fargate 支持内置的日志路由器,这意味着没有要安装或维护的附加容器。日志路由器允许您使用 AWS 上的服务宽度进行日志分析和存储。您可以将日志从
Fargate 直接流式传输到 Amazon CloudWatch、Amazon Elasticsearch Service 和 Amazon Kinesis Data
Firehose 目标(如 Amazon S3、Amazon Kinesis 数据流和合作伙伴工具)。Fargate 使用适用于 Fluent Bit 的 AWS
版本,这是由 AWS 管理的符合上游条件的 Fluent Bit 分配。有关更多信息,请参阅 GitHub 上的适用于 Fluent Bit 的 AWS
Prerequisites
-
使用现有 Amazon EKS 集群。集群必须运行以下(或更高版本)平台版本之一。
EKS 版本 平台版本 1.18 eks.31.17 eks.51.16 eks.51.15 eks.6如果您在这些平台版本之一或更高版本上没有现有集群,请参阅开始使用 Amazon EKS以部署集群。
-
一个现有 Fargate 配置文件,它指定将 Fargate Pod 部署到的现有 Kubernetes 命名空间。有关更多信息,请参阅 为您的集群创建 Fargate 配置文件.
将日志发送到您选择的目标
将 ConfigMap 应用于具有 Amazon EKS 数据值的 Fluent
Conf 集群,该数据值定义容器日志将发送到何处。Fluent Conf 是一种快速轻量级日志处理器配置语言,用于将容器日志路由到所选的日志目标。有关更多信息,请参阅 Fluent Bit 文档中的配置文件
在以下步骤中,将 <example values> 替换为您自己的值。
-
创建 Kubernetes 命名空间。
-
将以下内容保存到计算机上名为
aws-observability-namespace.yaml的文件中。名称必须为aws-observability。kind: Namespace apiVersion: v1 metadata: name: aws-observability labels: aws-observability: enabled -
创建命名空间。
kubectl apply -f aws-observability-namespace.yaml
-
-
配置 Kubernetes 以将 Fargate 日志发送到以下目标之一。必须在
ConfigMap命名空间中创建您创建的aws-observability。-
(可选)将日志发送到 CloudWatch。在使用 CloudWatch 时,您有两个输出选项:
-
cloudwatch_logs以 C 编写的输出插件。– -
cloudwatch使用 Golang 编写的一个输出插件。–
以下示例说明如何使用
cloudwatch_logs插件将日志发送到 CloudWatch。-
将以下内容保存到名为
aws-logging-cloudwatch-configmap.yaml的文件中。kind: ConfigMap apiVersion: v1 metadata: name: aws-logging namespace: aws-observability labels: data: output.conf: | [OUTPUT] Name cloudwatch_logs Match * region <us-east-1> log_group_name fluent-bit-cloudwatch log_stream_prefix from-fluent-bit- auto_create_group On -
将清单应用于您的集群。
kubectl apply -f aws-logging-cloudwatch-configmap.yaml -
将 CloudWatch IAM 策略下载到您的计算机。您还可以在 GitHub 上查看策略
。 curl -o permissions.json https://raw.githubusercontent.com/aws-samples/amazon-eks-fluent-logging-examples/mainline/examples/fargate/cloudwatchlogs/permissions.json
-
-
(可选)将日志发送到 Amazon Elasticsearch Service。您可以使用 es
输出,这是用 C 编写的插件。以下示例向您演示如何使用该插件将日志发送到 Elasticsearch。 -
将以下内容保存到名为
aws-logging-elasticsearch-configmap.yaml的文件中。kind: ConfigMap apiVersion: v1 metadata: name: aws-logging namespace: aws-observability labels: data: output.conf: | [OUTPUT] Name es Match * Host 192.168.2.3 Port 9200 Index my_index Type my_type AWS_Auth On AWS_Region <us-east-1> -
将清单应用于您的集群。
kubectl apply -f aws-logging-elasticsearch-configmap.yaml -
将 Elasticsearch IAM 策略下载到您的计算机。您还可以在 GitHub 上查看策略
。 curl -o permissions.json https://raw.githubusercontent.com/aws-samples/amazon-eks-fluent-logging-examples/mainline/examples/fargate/amazon-elasticsearch/permissions.json
-
-
(可选)将日志发送到 Kinesis Data Firehose。在使用 Kinesis Data Firehose 时,您有两个输出选项:
-
kinesis_firehose以 C 编写的输出插件。– -
firehose使用 Golang 编写的输出插件。–
以下示例说明如何使用
kinesis_firehose插件将日志发送到 Kinesis Data Firehose。-
将以下内容保存到名为
aws-logging-firehose-configmap.yaml的文件中。kind: ConfigMap apiVersion: v1 metadata: name: aws-logging namespace: aws-observability labels: data: output.conf: | [OUTPUT] Name kinesis_firehose Match * region <us-east-1> delivery_stream my-stream-firehose -
将清单应用于您的集群。
kubectl apply -f aws-logging-firehose-configmap.yaml -
将 Kinesis Data Firehose IAM 策略下载到您的计算机。您还可以在 GitHub 上查看策略
。 curl -o permissions.json https://raw.githubusercontent.com/aws-samples/amazon-eks-fluent-logging-examples/mainline/examples/fargate/kinesis-firehose/permissions.json
-
-
-
创建 IAM 策略。
aws iam create-policy --policy-name <eks-fargate-logging-policy> --policy-document file://permissions.json -
将 IAM 策略附加到为您的 Fargate 配置文件指定的 Pod 执行角色。将
<111122223333>替换为您的账户 ID。aws iam attach-role-policy \ --policy-arn arn:aws:iam::<111122223333>:policy/<eks-fargate-logging-policy> \ --role-name <your-pod-execution-role> -
部署示例 pod。
-
将以下内容保存到计算机上的
yaml文件中。apiVersion: apps/v1 kind: Deployment metadata: name: sample-app namespace: <same-namespace-as-your-fargate-profile> spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:latest ports: - name: http containerPort: 80 -
将清单应用于集群。
kubectl apply -f <name-of-file-from-previous-step>.yaml
-
-
使用将日志发送到的工具查看日志。
大小注意事项
我们建议您为日志制定最多 50 MB 内存计划。如果您希望应用程序以非常高的吞吐量生成日志,则应计划高达 100 MB。
Troubleshooting
要确认日志记录功能是出于某种原因启用还是禁用(例如,无效 ConfigMap)以及为何无效),请使用 kubectl describe pod <pod_name> 检查 Pod 事件。输出可能包含 Pod 事件,以阐明是否启用日志记录,如以下示例输出。
... Annotations: CapacityProvisioned: 0.25vCPU 0.5GB Logging: LoggingDisabled: LOGGING_CONFIGMAP_NOT_FOUND kubernetes.io/psp: eks.privileged ... Events: Type Reason Age From Message ---- ------ ---- ---- ------- Warning LoggingDisabled <unknown> fargate-scheduler Disabled logging because aws-logging configmap was not found. configmap "aws-logging" not found
Pod 事件是临时的,具有一个时间段,具体取决于设置。您还可以使用 kubectl describe pod <pod-name> 查看 Pod 的注释。在 pod 注释中,提供了有关日志记录功能是启用还是禁用以及原因的信息。
验证策略
典型 Fluent Conf 中的主要部分包括 Service、Input、Filter 和 Output。Filter 、Output 和 Parser。Service 和 Input 由 Fargate 生成。Fargate 仅验证 Filter 中指定的 Output、Parser 和 Fluent Conf。将忽略 Filter、Output 和 Parser 之外提供的任何部分。以下规则用于验证 Filter、Output 和 Parser 字段。
-
[FILTER]应在每个相应键下指定[OUTPUT],、[PARSER]和filters.conf:output.conf、parsers.conf和 。例如,[FILTER]必须位于filters.conf下。您可以在[FILTER]下拥有多个filters.conf。这同样适用于[OUTPUT]和[PARSER]。 -
Fargate 验证每个部分所需的密钥。每个
Name和match都需要[FILTER]和[OUTPUT]。每个Name都需要format和[PARSER]。密钥不区分大小写。 -
中不允许使用环境变量,例如
${ENV_VAR}。configmap -
每个
filters.conf、output.conf和parsers.conf中的指令或键值对的缩进必须相同。键/值对的缩进范围必须多于指令。 -
Fargate 针对以下支持的筛选条件进行验证:
grep、kubernetes、parser、record_modifier、rewrite_tag、throttle、nest和modify。 -
Fargate 针对以下支持的输出进行验证:
es、firehose、kinesis_firehose、cloudwatch、cloudwatch_logs和kinesis。 -
必须在
Output中提供至少一个支持的ConfigMap插件才能启用日志记录。启用日志记录无需Filter和Parser。
有关 Fluent Conf 的更多信息,请参阅 Fluent Bit 文档中的配置文件