ELFK7.6.2_Centos7.6部署文档

最新推荐文章于 2025-12-05 14:19:22 发布
原创 最新推荐文章于 2025-12-05 14:19:22 发布 · 826 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #elk

系统环境

  • 操作系统:CentOS Linux release 7.6.1810 (Core) / 3.10.0-957.el7.x86_64
  • 主机角色

ip

部署内容

10.10.10.110

JDK,Nodejs,Elasticsearch,kafka,Logstash,Filebeat,Kibana

10.10.10.177

JDK,Elasticsearch,kafka,Filebeat

10.10.10.178

JDK,Elasticsearch,kafka,Filebeat

  • 系统优化
echo "vm.swappiness=0" >> /etc/sysctl.conf
echo "vm.max_map_count=655350" >> /etc/sysctl.conf
sysctl -p

cat >>/etc/security/limits.conf << EOF 
root    soft    nofile  65535
root    hard    nofile  65535
*       soft    nofile  65535
*       hard    nofile  65535
EOF

目录规划

  • 软件下载目录
mkdir -p /data/downloads
  • 安装目录(手动)
mkdir -p /data/software

软件下载

环境安装

Java8安装配置

#Java安装
yum install java-1.8.0-openjdk*

#配置Java环境变量
vim /etc/profile   
JAVA_HOME=/etc/alternatives/java_sdk_1.8.0
JRE_HOME=$JAVA_HOME/jre
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/jre/lib/rt.jar
export PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/bin
export CLASSPATH

Nodejs12.13安装配置

#解压
tar -vxf node-v12.13.0-linux-x64.tar.xz
#移动到安装目录
mv node-v12.13.0-linux-x64 /data/software/node12
#配置node环境变量
vim /etc/profile   
export NODEJS_PATH=/data/software/node12
export PATH=$NODEJS_PATH/bin:$PATH

软件安装

Elasticsearch安装配置

  • ES安装

#初始主节点,必须三个节点都启动,集群才能启动成功。

  • 主库配置
  • 从配置
  • ES启动
#解压
tar -zvxf elasticsearch-7.6.2.tar.gz 
#移动解压的目录到安装目录下
mv elasticsearch-7.6.2 /data/software/elk

#进入目录
cd /data/software/elk/elasticsearch-7.6.2
mkdir -p /data/software/elk/elasticsearch-7.6.2/{data,logs}

#创建ES用户(ES不允许root启动)
useradd -m elasticsearch

chown -R elasticsearch:elasticsearch /data/software/elk/elasticsearch-7.6.2
cluster.name: test_logcollect_essvr
#节点名称
node.name: node110
#是不是有资格竞选主节点
node.master: true
#是否存储数据
node.data: true
#最大集群节点数
#node.max_local_storage_nodes: 3
#网关地址
network.host: 10.10.10.110
#端口
http.port: 19200
#内部节点之间沟通端口
transport.tcp.port: 19300
# 设置这个参数来保证集群中的节点可以知道其它N个有master资格的节点。默认为1,对于大的集群来说,可以设置大一点的值(2-4)
discovery.zen.minimum_master_nodes: 2
#es7.x 之后新增的配置,写入候选主节点的设备地址,在开启服务后可以被选为主节点
discovery.seed_hosts: ["10.10.10.110:19300","10.10.10.177:19300","10.10.10.178:19300"]
#es7.x 之后新增的配置,初始化一个新的集群时需要此配置来选举master
cluster.initial_master_nodes: ["node110","node177","node178"]
#数据存储路径
path.data: /data/software/elk/elasticsearch-7.6.2/data
#日志存储路径
path.logs: /data/software/elk/elasticsearch-7.6.2/logs

#index.number_of_shards: 5
#index.number_of_replicas: 1

bootstrap.memory_lock: false
bootstrap.system_call_filter: false

http.cors.enabled: true
http.cors.allow-origin: "*"
cluster.name: test_logcollect_essvr
#节点名称
node.name: node177
#是不是有资格竞选主节点
node.master: true
#是否存储数据
node.data: true
#最大集群节点数
#node.max_local_storage_nodes: 3
#网关地址
network.host: 10.10.10.177
#端口
http.port: 19200
#内部节点之间沟通端口
transport.tcp.port: 19300
# 设置这个参数来保证集群中的节点可以知道其它N个有master资格的节点。默认为1,对于大的集群来说,可以设置大一点的值(2-4)
discovery.zen.minimum_master_nodes: 2
#es7.x 之后新增的配置,写入候选主节点的设备地址,在开启服务后可以被选为主节点
discovery.seed_hosts: ["10.10.10.110:19300","10.10.10.177:19300","10.10.10.178:19300"]
#es7.x 之后新增的配置,初始化一个新的集群时需要此配置来选举master
cluster.initial_master_nodes: ["node110","node177","node178"]
#数据存储路径
path.data: /data/software/elk/elasticsearch-7.6.2/data
#日志存储路径
path.logs: /data/software/elk/elasticsearch-7.6.2/logs

#index.number_of_shards: 5
#index.number_of_replicas: 1

bootstrap.memory_lock: false
bootstrap.system_call_filter: false

http.cors.enabled: true
http.cors.allow-origin: "*"
su elasticsearch # 切换到elasticsearch用户
./bin/elasticsearch -d

kafka 安装配置

  • 安装
  • 配置zk(/data/software/elk/kafka/config/zookeeper.properties)
    配置kafka(/data/software/elk/kafka/config/server.properties)
  • 服务启动
cd /data/downloads
tar -zvxf kafka_2.12-2.5.0.tgz
mv kafka_2.12-2.5.0 /data/software/elk/kafka
cd /data/software/elk/kafka
mkdir -p /data/software/elk/kafka/data/zookeeper
mkdir -p /data/software/elk/kafka/logs
#创建myid文件,集群各节点id不同
echo "1" > /data/software/elk/kafka/data/zookeeper/myid
# the directory where the snapshot is stored.
dataDir=/data/software/elk/kafka/data/zookeeper
# the port at which the clients will connect
clientPort=2181
# disable the per-ip limit on the number of connections since this is a non-production config
maxClientCnxns=0
# Disable the adminserver by default to avoid port conflicts.
# Set the port to something non-conflicting if choosing to enable this
admin.enableServer=false
# admin.serverPort=8080
tickTime=2000
initLimit=20
syncLimit=10
server.1=10.10.10.110:2888:3888
server.2=10.10.10.177:2888:3888
server.3=10.10.10.178:2888:3888
#唯一数字分别为1,2,3
broker.id=1
#这个broker监听的端口
prot=9092
#唯一填服务器IP
host.name=10.10.10.110
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
#kafka日志路径,不需要提前创建,启动kafka时创建
log.dirs=/data/software/elk/kafka/logs
#分片数,需要配置较大,分片影响读写速度
num.partitions=16
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=1
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
#zookpeer集群
zookeeper.connect=10.10.10.110:2181,10.10.10.177:2181,10.10.10.178:2181
zookeeper.connection.timeout.ms=6000
group.initial.rebalance.delay.ms=0
#按serverid顺启动zookeeper
nohup /data/software/elk/kafka/bin/zookeeper-server-start.sh /data/software/elk/kafka/config/zookeeper.properties >/tmp/zookeeper.log &

netstat -nlpt | grep -E "2181|2888|3888"  #哪台是leader,那么他就拥有2888端口

#按serverid顺启动kafka
nohup /data/software/elk/kafka/bin/kafka-server-start.sh /data/software/elk/kafka/config/server.properties >/tmp/kafka.log &

Logstash 安装配置

  • 安装
  • 配置kafka传数据到es(/data/software/elk/logstash-7.6.2/config/kafka-es.conf)
  • 服务启动
tar -zvxf logstash-7.6.2.tar.gz 
mv logstash-7.6.2 /data/software/elk
cd /data/software/elk/logstash-7.6.2
makdir -p /data/software/elk/logstash-7.6.2/logs
input {
  kafka {
    bootstrap_servers => "10.10.10.110:9092,10.10.10.177:9092,10.10.10.178:9092"  #kafka集群地址
    topics_pattern => ".*" #正则匹配topic
    #topics => ["ng_cardapi_access","ng_cardapi_error"] #数组形式表示多个topic
    codec => "json"  #解析格式
    consumer_threads => 5   #最大线程
    decorate_events => true  #将当前topic、offset、group、partition等信息也带到message中
    auto_offset_reset => "latest" #从最新的偏移量开始消费
  }
}

output {
  elasticsearch {
    hosts => ["10.10.10.110:19200","10.10.10.177:19200","10.10.10.178:19200"] #ES集群信息
    index => "%{[log_topic]}_%{+YYYY.MM.dd}"  #索引格式建议按天切割
    #index => "%{[@metadata][kafka][topic]}_%{+YYYY.MM.dd}" #也可以在metadata字段中获取topic变量
  }

#条件判断的写法
#  if [log_topic] == "ng_cardapi_access" {
#      elasticsearch {
#        hosts => ["10.10.10.110:19200","10.10.10.177:19200","10.10.10.178:19200"] #ES集群信息
#        index => "ng_cardapi_access_%{+YYYY.MM.dd}"  #索引格式建议按天切割
#      }
#    }
#
#    if [log_topic] == "ng_cardapi_error" {
#      elasticsearch {
#        hosts => ["10.10.10.110:19200","10.10.10.177:19200","10.10.10.178:19200"] #ES集群信息
#        index => "ng_cardapi_error_%{+YYYY.MM.dd}"  #索引格式建议按天切割
#      }
#    }

  stdout {
    codec => rubydebug {metadata => true}  #控制台输出日志包含@metadata信息,便于查看并引用其中的变量
  }
}
nohup /data/software/elk/logstash-7.6.2/bin/logstash -f /data/software/elk/logstash-7.6.2/config/kafka-es.conf > /tmp/logstach.log &

#测试配置文件
/data/software/elk/logstash-7.6.2/bin/logstash -t -f /data/software/elk/logstash-7.6.2/config/kafka-es.conf

filebeat 安装配置

  • 安装
  • 配置
  • 服务启动
cd /data/downloads/ 
tar -zxvf filebeat-7.6.2-linux-x86_64.tar.gz
mv filebeat-7.6.2-linux-x86_64/ /data/software/elk/filebeat-7.6.2
filebeat.inputs:
- type: log   #日志类型
  enabled: true
  json.keys_under_root: true #可以让字段位于根节点
  json.overwrite_keys: true #对于同名的key,覆盖原有key值
  json.add_error_key: true #解析失败,把错误放出来
  fields_under_root: true #可以让字段位于根节点
  paths:
    - /data/logs/nginx/card/card-api.access_log  #日志文件路径
  fields:
    log_topic: ng_cardapi_access  #指定日志topic名称

- type: log   #日志类型
  enabled: true
  json.keys_under_root: true #可以让字段位于根节点
  json.overwrite_keys: true #对于同名的key,覆盖原有key值
  json.add_error_key: true #解析失败,把错误放出来
  fields_under_root: true #可以让字段位于根节点
  paths:
    - /data/logs/nginx/card/card-api.error_log  #日志文件路径
  fields:
    log_topic: ng_cardapi_error  #指定日志topic名称

output.kafka:
   enabled: true
   hosts: [10.10.10.110:9092,10.10.10.177:9092,10.10.10.178:9092] #kafka集群地址
   topic: '%{[log_topic]}' #fileds.log_topic 定义的值
nohup /data/software/elk/filebeat-7.6.2/filebeat -e -c /data/software/elk/filebeat-7.6.2/filebeat.yml > /tmp/filebeat.log &

Kibana 安装配置

  • 安装(依赖node)
  • 配置(/data/software/elk/kibana-7.6.2/config)
  • 服务启动
cd /data/downloads/ 
tar -zxvf kibana-7.6.2-linux-x86_64.tar.gz
mv kibana-7.6.2-linux-x86_64 /data/software/elk/kibana-7.6.2
i18n.locale: "zh-CN"
server.port: 5601  #服务器端口,默认5601
server.host: "10.10.10.110"   #主机IP地址
elasticsearch.hosts: ["http://10.10.10.110:19200","http://10.10.10.177:19200","http://10.10.10.178:19200"]  #ES地址
logging.dest: /data/software/elk/kibana-7.6.2/logs/kibana.log
kibana.index: ".kibana"     
xpack.reporting.encryptionKey: "a_random_string"        #随机密钥
xpack.security.encryptionKey: "something_at_least_32_characters"   #最少32位随机字符
 nohup /data/software/elk/kibana-7.6.2/bin/kibana --allow-root & > /tmp/kibana.log  2>&1 &

centos7安装ELFK日志分析
qq_39788924的博客
05-21 1107
centos7 yum安装ELK8.X+filebeat环境版本一、ELK下载路径(一)下载地址:Elastic官网我下载的是rpm格式(二)Wget下载在ssh工具上,可以通过wget 命令将4个rpm包进行下载下载的包就放在/elfk下,如二、elasticsearch 安装配置(一)elasticsearch 安装使用yum localinstall 安装本地rpm包,执行代码如下(示例):安装完成会生成默认密码,可以记录下,登录kibana时需要。
Springboot整合ELFK记录(docker安装部署ELFK)
forever_xw_的博客
12-17 2353
Springboot整合ELFK(docker安装部署ELFK) 前言:日志对于一个程序的重要程度不用多说,正好之前部署了一套分布式日志解决方案(通过查阅大佬教程做此记录分享^ v ^) - ELFK(Elasticsearch+Logstash+FileBeat+Kibana) 简单流程:Filebeat 会定时监听事先指定的日志文件,如果日志文件有变化,会将数据推送至 Logstash,Logstash通过配置进行过滤筛选存入es,最终通过 Kibana 将数据呈现出来。 一. 环境准备 准备服务器:目
ELFK部署
weixin_51720711的博客
10-13 853
ELK+EFK+ELFK收集nginx
ELFK 8.12.2 部署 -- docker部署方式⚽
liu_chen_yang的博客
07-08 4238
ELFK 8.12.2 部署 -- docker部署方式⚽
ELFK 7.x 集群部署
变成习惯
02-04 1291
ELFK介绍 ELK 是 elastic 公司旗下三款产品ElasticSearch、Logstash、Kibana的首字母组合,也即Elastic Stack包含ElasticSearch、Logstash、Kibana、Beats。ELK提供了一整套解决方案,并且都是开源软件,之间互相配合使用,完美衔接,高效的满足了很多场合的应用,是目前主流的一种日志系统。 ElasticSearch 一个基于 JSON 的分布式的搜索和分析引擎,作为 ELK 的核心,它集中存储数据,
ELFK集群部署
m0_71931851的博客
11-22 364
ELFK集群部署
linux 单点部署安装 ELFK
weixin_47769404的博客
04-16 508
下载elasticsearch wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.17.3-x86_64.rpm安装elasticsearch yum -y localinstall elasticsearch-7.17.3-x86_64.rpm修改系统配置 修改elasticsearch.yml配置 运行、停止、查看状态 2、Kibana安装部署
ELK/ELFK日志分析系统部署
sjc090132的博客
10-12 1491
ELK/ELFK日志分析系统部署
ELK / ELFK日志审计系统(二)Elasticsearch 安装部署
IT运维记录
09-22 749
三节点集群是构建高可用、容错 Elasticsearch 集群的最小推荐配置。它允许您设置至少一个主分片副本,确保在单个节点发生故障时,数据不丢失且服务持续可用。PS:官方建议,集群启动完成之后注释掉: #cluster.initial_master_nodes: ["ytsz-es01"]至此三节点Elasticsearch集群部署完成!,仅用于集群首次启动。
在Ubuntu上部署ELK_ELFK(7.3)日志系统
# 1. 简介 ## 1.1 什么是ELK/ELFK日志系统 ELK/ELFK日志系统是由Elasticsearch、Logstash和Kibana(以及可能的Filebeat)组成的一系列开源工具,用于实时地收集、存储、搜索、分析...## 1.2 为什么选择在Ubuntu上部署
快速搭建DNS服务器完整教程
APang的博客
12-03 747
本文介绍了在CentOS 7上配置DNS服务的完整流程。首先更换阿里云yum源,然后安装DNS相关服务。重点讲解了主配置文件named.conf的修改,包括监听端口和访问权限设置。详细说明了正反向解析配置文件的编写方法,强调网段需要倒序书写并添加特定后缀。提供了正反向区域文件的模板示例,并指出配置验证方法。最后介绍了服务的启动、验证及客户端配置步骤,完成基础DNS服务的搭建。整个过程涵盖了从软件安装到配置测试的全流程。
NineData社区版V4.7.0发布!新增MySQL至TiDB等6条数据复制对比链路,SQL窗口新增谷歌云6种数据源类型
云原生智能数据管理平台
12-05 772
NineData社区版V4.7.0正式发布,新增6条数据复制链路(包括MySQL至OceanBase/TiDB等5条跨源链路和1条同构链路),均支持全流程数据同步与对比功能。同时新增6种谷歌云数据源支持,优化了MongoDB内网复制和MySQL XA事务性能。该版本现已支持27种数据库迁移链路,提供包括SQL审核、结构设计等企业级DevOps能力。作为免费开源工具,NineData社区版支持Docker快速部署,具备高性能CDC同步技术,适用于数据库迁移、容灾、ETL等场景,5-10分钟即可完成安装体验。
Windows 虚拟机配置与驱动安装记录
fushan2012的博客
12-05 245
驱动,Windows 虚拟机成功识别并配置了网络接口,解决了获取 IP 的问题。现在,Windows 虚拟机可以正常通过 DHCP 获取 IP,并通过该 IP 访问内外网。转换为镜像,推送到你的镜像仓库。或者可以手动下载 ISO 文件,并将其上传到你的服务器,只要确保文件在某个目录下即可。记得根据使用的 virtio 驱动版本以及你的镜像仓库修改相应字段。,我们将其容器化,放入一个 Docker 镜像中,并命名为。,其中包含所有必须的驱动文件。文件,按提示完成驱动安装。,并成功获得网络 IP。
docker 部署 komari-monitor监控
曼陀罗的博客
12-05 511
Nginx反向代理配置安装nginx,省略server {listen 80;就可以使用域名访问komariKomari 客户端(Agent)安装指南Komari 的客户端(Agent)需要安装在被监控的服务器或设备上,用于采集系统信息并上报到 Komari 主控端。安装方式主要有 Linux 二进制安装、Docker 部署 和 Windows 安装(WinSW 托管) komari-document.pages.dev。
分享!Windows XP系统安装详细图文版安装教程
最新发布
Java000I的博客
12-05 394
36、**选择否,先不进行注册,点击下一步。8、**网络类型选择NAT模式,点击下一步。30、**选择典型设置,点击下一步。38、**直接点击下一步完成系统安装。
DAY3-Open Harmony PC 命令行适配指南(Windows版)-git Permission denied (publickey) 问题
IT从业者的成长历程
12-02 1044
核心是「SSH 公钥未配置」导致认证失败,优先通过「生成密钥→配置到 GitCode→验证连接」解决;若嫌麻烦,直接改用 HTTPS 克隆更快捷。配置完成后,克隆命令即可正常执行。解决完这个问题,还有新的问题,我们继续解决。
(11) KVM基于内核的虚拟机
qq_43457850的博客
12-02 1054
因为这个漏洞问题是由cpu架构设计,后期芯片生产之后产生的,那么直接在芯片设计或生产的时候,把漏洞堵上。现在的x86架构,默认全部都要依赖CDou的硬件辅助虚拟化方案。VMware软件完全虚拟化,和早期xen半虚拟化,他们现在都都要依赖于硬件辅助虚拟化。VMware因为有cpu硬件辅助虚拟化支持,性能会非常好。Vmware在不开启硬件辅助的前提下,能不能创建虚拟机呢?可以创建:2位的虚拟机,但不能创建64位虚拟机。
Linux系统】ext2文件系统
HZzzzzLu的博客
12-01 1051
本文介绍了磁盘的基本概念、分类和存储结构。首先将磁盘分为HDD(机械硬盘)和SSD(固态硬盘),并比较了两者的优缺点。随后详细讲解了磁盘的物理结构,包括盘片、磁头、主轴和臂架等组件。在存储结构部分,重点阐述了CHS(柱面-磁头-扇区)寻址方式与LBA(逻辑块地址)之间的转换关系,以及操作系统如何通过块、分区和分组管理磁盘空间。最后介绍了文件系统中的关键数据结构inode,它用于存储文件的元数据信息,实现文件属性和内容的分离存储。全文系统性地梳理了磁盘的工作原理和操作系统对磁盘的管理机制。
Kubernetes 集群安全机制
12-03 966
本文介绍了Kubernetes集群中的核心安全机制,重点围绕API Server的访问控制展开。主要内容包括:身份认证机制(X.509双向证书认证、ServiceAccount短期令牌),权限控制系统(RBAC模型中的Role/ClusterRole及其绑定方式),以及Kubernetes用户与用户组的概念。文章详细解析了证书签发流程、服务账户的使用场景,并说明了集群管理员、命名空间管理员等不同角色的权限范围。这些安全机制共同构成了Kubernetes集群的多层防护体系,确保组件间通信和资源访问的安全性。
k8s部署elfk
05-09
<think>好的,我现在需要帮助用户在Kubernetes上部署ELFK栈,也就是包含Elasticsearch、Logstash、Fluentd(或者Filebeat)、Kibana的日志系统。根据用户提供的引用内容,用户可能更倾向于使用Filebeat而不是Logstash,因为引用中提到了EFK架构,其中Filebeat或Fluentd取代Logstash。不过用户明确提到了ELFK,所以可能需要确认是否需要Logstash。不过根据引用[4],ELK现在常被扩展为EFK,用Filebeat或Fluentd替代Logstash。但用户的问题明确是ELFK,所以可能需要包含Logstash,或者可能是打字错误,实际需要EFK?需要进一步分析。 根据引用内容,用户之前的引用提到ELK转变为EFK,使用Filebeat或Fluentd。而用户现在的问题是想部署ELFK,可能是指Elasticsearch、Logstash、Fluentd、Kibana?但不太常见。或者可能是ELK + Filebeat,即EFK?需要明确。根据用户的问题描述,“ELFK”可能是Elasticsearch、Logstash、Filebeat、Kibana的组合,但通常ELK中的L是Logstash,如果替换成Filebeat的话,可能变成EFK。但用户的问题里同时提到了ELK Stack和Filebeat,所以可能用户希望ELK加上Filebeat,即使用Filebeat作为日志收集器,然后发送到Logstash处理,再存储到Elasticsearch,最后由Kibana展示。这种情况下,部署的组件包括Filebeat、Logstash、Elasticsearch、Kibana,即ELFK中的F是Filebeat。 接下来,根据引用中的内容,用户提供的引用[1]、[2]、[3]、[4]都是关于在k8s中部署ELK并集成Filebeat的。例如,引用[1]详细说明了如何通过创建Namespace、ServiceAccount、RBAC、ConfigMap、DaemonSet等资源来部署Filebeat。引用[4]则提到使用StatefulSet部署Elasticsearch,并创建相关的服务和配置。 所以,用户的问题是如何在k8s上部署ELK Stack和Filebeat。结合引用中的信息,部署步骤大致如下: 1. 创建命名空间:例如kube-logging,用于集中管理日志相关资源。 2. 部署Elasticsearch:通常使用StatefulSet,因为ES是有状态应用,需要持久化存储。 3. 部署Kibana:作为前端展示,需要连接到Elasticsearch。 4. 部署Logstash(如果需要):如果使用Logstash处理日志,则需要部署其Deployment和Service,但根据引用[4],可能更倾向于用Filebeat直接发送到ES,或者用Fluentd。 5. 部署Filebeat:作为DaemonSet在每个节点上运行,收集容器日志,并发送到Logstash或Elasticsearch。 6. 配置RBAC:因为Filebeat需要访问集群中的日志,需要相应的ServiceAccount和权限。 7. 验证各组件状态,确保日志正常收集和展示。 需要注意的几点: - Filebeat需要以DaemonSet形式部署,确保每个节点都有一个Pod收集日志。 - Elasticsearch可能需要配置持久卷(PV)和持久卷声明(PVC)。 - Kibana需要正确指向Elasticsearch的服务地址。 - 根据引用[1],Filebeat的配置通过ConfigMap来管理,包括输出到Elasticsearch或Logstash的设置。 - 可能需要调整资源限制(如CPU和内存)以确保各组件稳定运行。 现在,用户可能需要详细的步骤说明,包括YAML文件的示例和配置要点。需要参考引用中的示例,例如创建Namespace、ServiceAccount、RBAC角色绑定、ConfigMap、DaemonSet等。 同时,用户可能需要了解如何验证部署是否成功,例如检查Pod状态,查看Elasticsearch中是否有索引生成,或者通过Kibana界面查看日志数据。 另外,潜在的问题可能包括网络策略导致组件间无法通信,持久化存储配置错误,或者资源不足导致Pod无法启动。需要提醒用户注意这些方面。 最后,根据用户的要求,生成相关问题,可能涉及性能优化、高可用配置、日志处理流程的调整等。</think>### Kubernetes部署ELFK栈(Elasticsearch/Logstash/Filebeat/Kibana)步骤 #### 一、核心组件说明 - **Elasticsearch**:日志存储与检索 - **Filebeat**:轻量级日志收集器(DaemonSet模式部署,采集节点/容器日志)[^2] - **Logstash**(可选):日志过滤与转发(若无需复杂处理,Filebeat可直接输出到Elasticsearch) - **Kibana**:数据可视化界面 #### 二、详细部署流程 ##### 1. 创建专用命名空间 ```yaml # elk-namespace.yaml apiVersion: v1 kind: Namespace metadata: name: kube-logging ``` 执行命令:`kubectl apply -f elk-namespace.yaml` ##### 2. 部署Elasticsearch集群(StatefulSet) ```yaml # elasticsearch-statefulset.yaml apiVersion: apps/v1 kind: StatefulSet metadata: name: elasticsearch namespace: kube-logging spec: serviceName: elasticsearch replicas: 3 selector: matchLabels: app: elasticsearch template: metadata: labels: app: elasticsearch spec: containers: - name: elasticsearch image: docker.elastic.co/elasticsearch/elasticsearch:7.16.2 resources: limits: memory: 4Gi requests: memory: 2Gi volumeMounts: - name: data mountPath: /usr/share/elasticsearch/data volumes: - name: data persistentVolumeClaim: claimName: elasticsearch-pvc --- # 创建Headless Service apiVersion: v1 kind: Service metadata: name: elasticsearch namespace: kube-logging spec: clusterIP: None ports: - port: 9200 name: http selector: app: elasticsearch ``` ##### 3. 部署Kibana ```yaml # kibana-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: kibana namespace: kube-logging spec: replicas: 1 selector: matchLabels: app: kibana template: metadata: labels: app: kibana spec: containers: - name: kibana image: docker.elastic.co/kibana/kibana:7.16.2 env: - name: ELASTICSEARCH_HOSTS value: "http://elasticsearch.kube-logging.svc.cluster.local:9200" --- # 创建Kibana Service apiVersion: v1 kind: Service metadata: name: kibana namespace: kube-logging spec: type: NodePort ports: - port: 5601 nodePort: 30601 selector: app: kibana ``` ##### 4. 配置Filebeat DaemonSet ```yaml # filebeat-configmap.yaml(日志采集规则) apiVersion: v1 kind: ConfigMap metadata: name: filebeat-config namespace: kube-logging data: filebeat.yml: | filebeat.inputs: - type: container paths: - /var/log/containers/*.log processors: - add_kubernetes_metadata: host: ${NODE_NAME} matchers: - logs_path: logs_path: "/var/log/containers/" output.elasticsearch: hosts: ["elasticsearch.kube-logging.svc.cluster.local:9200"] --- # filebeat-daemonset.yaml apiVersion: apps/v1 kind: DaemonSet metadata: name: filebeat namespace: kube-logging spec: selector: matchLabels: app: filebeat template: metadata: labels: app: filebeat spec: serviceAccountName: filebeat containers: - name: filebeat image: docker.elastic.co/beats/filebeat:7.16.2 args: ["-c", "/etc/filebeat.yml", "-e"] volumeMounts: - name: config mountPath: /etc/filebeat.yml subPath: filebeat.yml - name: varlog mountPath: /var/log - name: varlibdockercontainers mountPath: /var/lib/docker/containers readOnly: true volumes: - name: config configMap: name: filebeat-config - name: varlog hostPath: path: /var/log - name: varlibdockercontainers hostPath: path: /var/lib/docker/containers ``` ##### 5. 配置RBAC权限 ```yaml # filebeat-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadata: name: filebeat namespace: kube-logging --- # filebeat-rbac.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: filebeat subjects: - kind: ServiceAccount name: filebeat namespace: kube-logging roleRef: kind: ClusterRole name: view apiGroup: rbac.authorization.k8s.io ``` #### 三、验证部署 1. 检查Pod状态: ```bash kubectl get pods -n kube-logging # 预期输出包含Elasticsearch、Kibana、Filebeat相关Running状态的Pod ``` 2. 访问Kibana界面: - 通过NodePort `http://<NodeIP>:30601` 进入Kibana - 在Management > Index Patterns 中创建`filebeat-*`索引模式[^3] #### 四、关键优化点 - **Elasticsearch持久化**:使用StorageClass动态供应PV,确保数据持久性 - **资源限制**:为Elasticsearch配置合适的内存/CPU请求与限制,避免OOM - **高可用**:通过`replicas: 3`实现Elasticsearch节点冗余[^4]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值