文档

Grafana Alloy

参考

组件

loki

loki.source.kubernetes

通用可用性 (GA)

`loki.source.kubernetes`

loki.source.kubernetes 使用 Kubernetes API 从 Kubernetes 容器中 tail 日志。

注意
此组件从 Kubernetes Pods 收集日志。您不能使用此组件从 Kubernetes 节点收集日志。

与 loki.source.file 相比，此组件具有以下优势

它无需特权容器即可工作。
它无需 root 用户即可工作。
它无需访问 Kubernetes 节点的文件系统。
它不需要 DaemonSet 来收集日志，因此一个 Alloy 可以收集整个集群的日志。

注意
由于 loki.source.kubernetes 使用 Kubernetes API 来 tail 日志，因此它比 loki.source.file 使用更多的网络流量和 Kubelet 的 CPU 消耗。

您可以通过为多个 loki.source.kubernetes 组件赋予不同的标签来指定它们。

用法

loki.source.kubernetes "<LABEL>" {
  targets    = <TARGET_LIST>
  forward_to = <RECEIVER_LIST>
}

参数

该组件为给定的每个 targets 启动一个新的读取器，并将日志条目扇出到 forward_to 中传递的接收器列表中。

您可以将以下参数与 loki.source.kubernetes 一起使用

名称	类型	描述	默认值	必需
`forward_to`	`list(LogsReceiver)`	要将日志条目发送到的接收器列表。		是
`targets`	`list(map(string))`	要从中读取的文件列表。		是

targets 中的每个目标必须具有以下标签

__meta_kubernetes_namespace 或 __pod_namespace__，用于指定要 tail 的 Pod 的命名空间。
__meta_kubernetes_pod_container_name 或 __pod_container_name__，用于指定要 tail 的 Pod 内的容器。
__meta_kubernetes_pod_name 或 __pod_name__，用于指定要 tail 的 Pod 的名称。
__meta_kubernetes_pod_uid 或 __pod_uid__，用于指定要 tail 的 Pod 的 UID。

默认情况下，当使用 discovery.kubernetes 输出时，所有这些标签都存在。

为 targets 中的每个唯一目标启动一个日志 tailer。如果日志流在容器永久终止之前返回，则日志 tailer 会使用指数退避重新连接到 Kubernetes。

块

您可以将以下块与 loki.source.kubernetes 一起使用

块	描述	必需
`client`	配置用于 tail 日志的 Kubernetes 客户端。	否
`client` > `authorization`	配置到端点的通用授权。	否
`client` > `basic_auth`	配置 `basic_auth` 以进行端点身份验证。	否
`client` > `oauth2`	配置 OAuth 2.0 以进行端点身份验证。	否
`client` > `oauth2` > `tls_config`	配置用于连接到端点的 TLS 设置。	否
`client` > `tls_config`	配置用于连接到端点的 TLS 设置。	否
`集群`	当 Alloy 在集群模式下运行时，配置组件。	否

> 符号表示更深层次的嵌套。例如，client > basic_auth 指的是在 client 块内定义的 basic_auth 块。

`client`

client 块配置用于 tail 容器日志的 Kubernetes 客户端。如果未提供 client 块，则使用运行 Alloy Pod 的服务帐户的默认集群内配置。

支持以下参数

名称	类型	描述	默认值	必需
`api_server`	`string`	Kubernetes API 服务器的 URL。		否
`bearer_token_file`	`string`	包含用于身份验证的 Bearer 令牌的文件。		否
`bearer_token`	`secret`	用于身份验证的 Bearer 令牌。		否
`enable_http2`	`bool`	是否支持 HTTP2 请求。	`true`	否
`follow_redirects`	`bool`	是否应跟随服务器返回的重定向。	`true`	否
`kubeconfig_file`	`string`	用于连接到 Kubernetes 的 `kubeconfig` 文件的路径。		否
`no_proxy`	`string`	以逗号分隔的 IP 地址、CIDR 表示法和域名列表，以排除在代理之外。		否
`proxy_connect_header`	`map(list(secret))`	指定在 CONNECT 请求期间发送到代理的标头。		否
`proxy_from_environment`	`bool`	使用环境变量指示的代理 URL。	`false`	否
`proxy_url`	`string`	通过其发送请求的 HTTP 代理。		否

以下最多可以提供一个

authorization 块
basic_auth 块
bearer_token_file 参数
bearer_token 参数
oauth2 块

no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy，则必须配置 proxy_url。

proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY（或其小写版本）。请求使用与其方案匹配的环境变量中的代理，除非被 NO_PROXY 排除。如果配置了 proxy_from_environment，则不得配置 proxy_url 和 no_proxy。

只有在配置了 proxy_url 或 proxy_from_environment 的情况下，才应配置 proxy_connect_header。

`authorization`

名称	类型	描述	必需
`credentials_file`	`string`	包含 secret 值的文件。	否
`credentials`	`secret`	Secret 值。	否
`type`	`string`	授权类型，例如 “Bearer”。	否

credential 和 credentials_file 是互斥的，并且在 authorization 块内只能提供一个。

`basic_auth`

名称	类型	描述	必需
`password_file`	`string`	包含基本身份验证密码的文件。	否
`password`	`secret`	基本身份验证密码。	否
`username`	`string`	基本身份验证用户名。	否

password 和 password_file 是互斥的，并且在 basic_auth 块内只能提供一个。

`oauth2`

名称	类型	描述	默认值	必需
`client_id`	`string`	OAuth2 客户端 ID。		否
`client_secret_file`	`string`	包含 OAuth2 客户端 secret 的文件。		否
`client_secret`	`secret`	OAuth2 客户端 secret。		否
`endpoint_params`	`map(string)`	要附加到令牌 URL 的可选参数。		否
`proxy_url`	`string`	通过其发送请求的 HTTP 代理。		否
`no_proxy`	`string`	以逗号分隔的 IP 地址、CIDR 表示法和域名列表，以排除在代理之外。		否
`proxy_from_environment`	`bool`	使用环境变量指示的代理 URL。	`false`	否
`proxy_connect_header`	`map(list(secret))`	指定在 CONNECT 请求期间发送到代理的标头。		否
`scopes`	`list(string)`	要用于身份验证的作用域列表。		否
`token_url`	`string`	从中获取令牌的 URL。		否

client_secret 和 client_secret_file 是互斥的，并且在 oauth2 块内只能提供一个。

oauth2 块还可以包含单独的 tls_config 子块。

no_proxy 可以包含 IP、CIDR 表示法和域名。IP 和域名可以包含端口号。如果配置了 no_proxy，则必须配置 proxy_url。

只有在配置了 proxy_url 或 proxy_from_environment 的情况下，才应配置 proxy_connect_header。

`tls_config`

名称	类型	描述	必需
`ca_pem`	`string`	用于验证服务器的 CA PEM 编码文本。	否
`ca_file`	`string`	用于验证服务器的 CA 证书。	否
`cert_pem`	`string`	用于客户端身份验证的证书 PEM 编码文本。	否
`cert_file`	`string`	用于客户端身份验证的证书文件。	否
`insecure_skip_verify`	`bool`	禁用服务器证书的验证。	否
`key_file`	`string`	用于客户端身份验证的密钥文件。	否
`key_pem`	`secret`	用于客户端身份验证的密钥 PEM 编码文本。	否
`min_version`	`string`	最低可接受的 TLS 版本。	否
`server_name`	`string`	ServerName 扩展，用于指示服务器的名称。	否

以下参数对是互斥的，不能同时设置

ca_pem 和 ca_file
cert_pem 和 cert_file
key_pem 和 key_file

配置客户端身份验证时，必须同时提供客户端证书（使用 cert_pem 或 cert_file）和客户端密钥（使用 key_pem 或 key_file）。

当未提供 min_version 时，最低可接受的 TLS 版本继承自 Go 的默认最低版本 TLS 1.2。如果提供了 min_version，则必须将其设置为以下字符串之一

"TLS10" (TLS 1.0)
"TLS11" (TLS 1.1)
"TLS12" (TLS 1.2)
"TLS13" (TLS 1.3)

`集群`

名称	类型	描述	默认值	必需
`enabled`	`bool`	与其他集群节点一起分发日志收集。		是

当 Alloy 使用集群，并且 enabled 设置为 true 时，此 loki.source.kubernetes 组件实例选择加入集群，以在所有集群节点之间分配日志收集的负载。

如果 Alloy 未在集群模式下运行，则该块是空操作，并且 loki.source.kubernetes 从其参数中接收的每个目标收集日志。

集群仅查看以下标签以确定分片键

__meta_kubernetes_namespace
__meta_kubernetes_pod_container_name
__meta_kubernetes_pod_name
__meta_kubernetes_pod_uid
__pod_container_name__
__pod_name__
__pod_namespace__
__pod_uid__
container
job
namespace
pod

导出的字段

loki.source.kubernetes 不导出任何字段。

组件健康状况

仅当 loki.source.kubernetes 获得无效配置时，才报告为不健康。

调试信息

loki.source.kubernetes 为每个目标公开一些目标级别的调试信息

与目标关联的标签。
在服务发现期间找到的完整标签集。
最近一次读取日志行并转发到管道中下一个组件的时间。
最近一次 tailing 错误（如果有）。

调试指标

loki.source.kubernetes 不公开任何特定于组件的调试指标。

示例

此示例从所有 Kubernetes Pod 收集日志，并将它们转发到 loki.write 组件，以便将它们写入 Loki。

discovery.kubernetes "pods" {
  role = "pod"
}

loki.source.kubernetes "pods" {
  targets    = discovery.kubernetes.pods.targets
  forward_to = [loki.write.local.receiver]
}

loki.write "local" {
  endpoint {
    url = sys.env("<LOKI_URL>")
  }
}