centos k8s日志管理如何操作

CentOS环境下Kubernetes日志管理操作指南

一、日志管理核心流程

Kubernetes日志管理需覆盖收集→存储→查看/分析→轮转/清理→监控告警全链路，以下是具体操作步骤：

二、日志收集：选择合适工具

日志收集是基础，常见方案需根据集群规模、资源预算选择：

1. EFK Stack（官方推荐）

EFK由Elasticsearch（存储/索引）、Fluentd（收集/转发）、Kibana（可视化）组成，适合需要全文检索、复杂分析的场景。

• Fluentd部署（DaemonSet模式）：
  通过DaemonSet在每个节点上运行1个Fluentd实例，收集节点上/var/log/containers/*.log（容器日志）、/var/log/kubelet.log（kubelet日志）等文件，并转发至Elasticsearch。
  示例DaemonSet配置（简化版）：

  apiVersion: apps/v1 kind: DaemonSet metadata: name: fluentd-logging namespace: kube-system spec: selector: matchLabels: app: fluentd template: metadata: labels: app: fluentd spec: containers: - name: fluentd image: fluent/fluentd-kubernetes-daemonset:v1.16 env: - name: FLUENT_ELASTICSEARCH_HOST value: "elasticsearch.kube-system.svc.cluster.local" # Elasticsearch服务地址 - name: FLUENT_ELASTICSEARCH_PORT value: "9200" resources: limits: memory: 500Mi requests: cpu: 100m memory: 200Mi volumeMounts: - name: varlog mountPath: /var/log - name: varlibdockercontainers mountPath: /var/lib/docker/containers readOnly: true volumes: - name: varlog hostPath: path: /var/log - name: varlibdockercontainers hostPath: path: /var/lib/docker/containers 

  应用配置后，Fluentd会自动收集节点上所有容器的日志并发送至Elasticsearch。

2. Filebeat（轻量替代）

若集群资源有限，可使用Filebeat（轻量级日志收集器）替代Fluentd。Filebeat部署为Sidecar容器，与业务Pod共享卷，收集容器日志并转发至Elasticsearch。
示例Pod配置：

apiVersion: v1 kind: Pod metadata: name: payment-service spec: containers: - name: app image: payment:v1.2 volumeMounts: - name: logs mountPath: /var/log/app - name: filebeat image: docker.elastic.co/beats/filebeat:8.9 volumeMounts: - name: logs mountPath: /var/log/app - name: filebeat-config mountPath: /usr/share/filebeat/filebeat.yml subPath: filebeat.yml volumes: - name: logs emptyDir: {} - name: filebeat-config configMap: name: filebeat-config 

需提前创建ConfigMap配置Filebeat（指向Elasticsearch地址）。

三、日志存储：选择持久化方案

日志需长期保存，常见存储方案：

• Elasticsearch：适合需要全文检索、复杂分析的场景，支持水平扩展，但资源消耗较高。
• Loki：轻量级日志聚合系统（专为Kubernetes设计），资源消耗低，与Prometheus集成好，适合日志+监控统一管理。
• 对象存储（S3/MinIO）：适合长期归档，成本低，但无法实时检索。

四、日志查看与分析：可视化工具

• Kibana（EFK）：通过Kibana创建索引模式（如k8s-logs-*），使用Discover查看实时日志，Dashboard构建可视化面板（如错误日志趋势、Pod日志量排名）。
• Grafana（Loki）：若使用Loki，可通过Grafana的Explore功能查询日志，支持标签过滤（如namespace=prod、pod_name=payment-service）。
• 命令行工具：
  • kubectl logs：查看Pod日志（示例：kubectl logs -f payment-service-abcde -n prod 实时查看）；
  • kubectl logs --previous：查看容器重启前的日志；
  • kubectl logs -c <container-name>：查看多容器Pod中指定容器的日志。

五、日志轮转与清理：防止磁盘爆满

容器日志默认存储在节点/var/log/containers目录，需通过logrotate配置轮转规则，避免日志文件过大。
示例/etc/logrotate.d/kubernetes-containers配置：

/var/lib/docker/containers/*/*.log { daily # 每天轮转 rotate 7 # 保留7天 compress # 压缩旧日志 delaycompress # 延迟压缩（避免压缩当天日志） missingok # 文件不存在不报错 notifempty # 空文件不轮转 copytruncate # 复制后截断原文件（不影响正在写入的日志） } 

此配置会每天轮转Docker容器日志，保留最近7天的压缩日志，节省磁盘空间。

六、日志监控与告警：及时发现问题

结合Prometheus+Alertmanager实现日志监控与告警：

• Prometheus：采集Elasticsearch/Loki的日志指标（如日志量、错误日志数、索引延迟）。
• Alertmanager：设置告警规则（如“5分钟内错误日志数超过100条”），通过邮件、Slack等方式通知运维人员。
  示例Prometheus告警规则：

groups: - name: k8s-log-alerts rules: - alert: HighErrorLogs expr: rate(elasticsearch_indices_indexing_slowlog_total[5m]) > 100 for: 5m labels: severity: critical annotations: summary: "K8s集群错误日志过多 (instance {{ $labels.instance }})" description: "5分钟内错误日志数超过100条，需立即排查" 

七、最佳实践

• 日志输出规范：应用程序应输出结构化日志（如JSON格式），包含timestamp、level、message、pod_name等字段，便于后续检索和分析。
• 日志分级：根据日志重要性分为DEBUG（调试）、INFO（常规）、WARN（警告）、ERROR（错误），设置不同保留策略（如ERROR日志保留30天，DEBUG日志保留7天）。
• 敏感信息过滤：使用Fluentd/Filebeat的过滤插件（如grok、mutate）脱敏日志中的敏感信息（如银行卡号、密码）。
• 资源限制：为日志收集器（Fluentd、Filebeat）设置合理的resources.limits（如内存限制500Mi），避免因日志量过大导致节点OOM。

通过以上步骤，可在CentOS环境的Kubernetes集群中实现高效的日志管理，满足故障排查、性能优化、安全审计等需求。