loki.source.kubernetes
loki.source.kubernetes 使用 Kubernetes API 从 Kubernetes 容器中收集日志。
注意
此组件收集 Kubernetes Pod 的日志。您不能使用此组件收集 Kubernetes 节点的日志。
与 loki.source.file 相比,此组件具有以下优点
- 无需特权容器即可工作。
- 无需 root 用户即可工作。
- 无需访问 Kubernetes 节点的文件系统即可工作。
- 不需要 DaemonSet 来收集日志,因此单个 Alloy 可以收集整个集群的日志。
注意
因为loki.source.kubernetes使用 Kubernetes API 跟踪日志,所以它比loki.source.file消耗更多的网络流量和 Kubelets 的 CPU。
您可以通过不同的标签指定多个 loki.source.kubernetes 组件。
用法
loki.source.kubernetes "LABEL" {
targets = TARGET_LIST
forward_to = RECEIVER_LIST
}参数
该组件为每个给定的 targets 启动一个新的读取器,并将日志条目分发到 forward_to 传入的接收者列表中。
loki.source.kubernetes 支持以下参数
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
targets | list(map(string)) | 要读取的文件列表。 | 是 | |
forward_to | list(LogsReceiver) | 要发送日志条目的接收者列表。 | 是 |
targets 中的每个目标都必须有以下标签
__meta_kubernetes_namespace或__pod_namespace__用于指定要跟踪的 pod 的命名空间。__meta_kubernetes_pod_name或__pod_name__用于指定要跟踪的 pod 的名称。__meta_kubernetes_pod_container_name或__pod_container_name__用于指定要跟踪的 pod 内的容器。__meta_kubernetes_pod_uid或__pod_uid__用于指定要跟踪的 pod 的 UID。
默认情况下,当使用输出 discovery.kubernetes 时,这些标签都是存在的。
对于 targets 中的每个唯一目标,都会启动一个日志跟踪器。如果日志流在容器永久终止之前返回,日志跟踪器将使用指数退避重新连接到 Kubernetes。
块
在 loki.source.kubernetes 的定义内部支持以下块
| 层次结构 | 块 | 描述 | 必需 |
|---|---|---|---|
| client | client | 配置用于跟踪日志的 Kubernetes 客户端。 | 否 |
| client > basic_auth | basic_auth | 配置用于端点的 basic_auth。 | 否 |
| client > authorization | authorization | 配置端点的通用授权。 | 否 |
| client > oauth2 | oauth2 | 配置用于端点的 OAuth2。 | 否 |
| client > oauth2 > tls_config | tls_config | 配置连接到端点的 TLS 设置。 | 否 |
| client > tls_config | tls_config | 配置连接到端点的 TLS 设置。 | 否 |
| clustering | clustering | 配置当 Alloy 以集群模式运行时的组件。 | 否 |
> 符号表示更深的嵌套层次。例如,client > basic_auth 指的是在 client 块内定义的 basic_auth 块。
client 块
client 块配置用于从容器中跟踪日志的 Kubernetes 客户端。如果未提供 client 块,则使用默认的集群配置,该配置使用运行 Alloy pod 的服务账户。
支持以下参数
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
api_server | 字符串 | Kubernetes API 服务器 URL。 | 否 | |
kubeconfig_file | 字符串 | 用于连接到 Kubernetes 的 kubeconfig 文件路径。 | 否 | |
bearer_token_file | 字符串 | 包含用于认证的 bearertoken 的文件。 | 否 | |
bearer_token | secret | 用于认证的 bearertoken。 | 否 | |
enable_http2 | bool | 是否支持请求的 HTTP2。 | true | 否 |
follow_redirects | bool | 是否应跟随服务器返回的重定向。 | true | 否 |
proxy_url | 字符串 | 用于发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 以逗号分隔的IP地址、CIDR表示法和要排除的域名列表。 | 否 | |
proxy_from_environment | bool | 使用环境变量指定的代理URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在CONNECT请求期间发送给代理的头信息。 | 否 |
以下选项中最多只能提供其中之一
no_proxy 可以包含IP、CIDR表示法和域名。IP和域名可以包含端口号。proxy_url必须在配置no_proxy时配置。
proxy_from_environment 使用HTTP_PROXY、HTTPS_PROXY和NO_PROXY(或其小写形式)环境变量。除非被NO_PROXY排除,否则请求使用与环境变量匹配的代理。如果配置了proxy_from_environment,则必须配置proxy_url和no_proxy。
只有在配置了proxy_url或proxy_from_environment时,才应配置proxy_connect_header。
basic_auth 块
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
password_file | 字符串 | 包含基本认证密码的文件。 | 否 | |
password | secret | 基本认证密码。 | 否 | |
username | 字符串 | 基本认证用户名。 | 否 |
password 和 password_file 是互斥的,且在 basic_auth 块内部只能提供其中一个。
authorization 块
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
credentials_file | 字符串 | 包含密钥值的文件。 | 否 | |
credentials | secret | 密钥值。 | 否 | |
type | 字符串 | 授权类型,例如,“Bearer”。 | 否 |
credential 和 credentials_file 是互斥的,且在 authorization 块内部只能提供其中一个。
oauth2 块
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
client_id | 字符串 | OAuth2 客户端ID。 | 否 | |
client_secret_file | 字符串 | 包含OAuth2客户端密钥的文件。 | 否 | |
client_secret | secret | OAuth2客户端密钥。 | 否 | |
endpoint_params | map(string) | 附加到令牌URL的可选参数。 | 否 | |
proxy_url | 字符串 | 用于发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 以逗号分隔的IP地址、CIDR表示法和要排除的域名列表。 | 否 | |
proxy_from_environment | bool | 使用环境变量指定的代理URL。 | false | 否 |
proxy_connect_header | map(list(secret)) | 指定在CONNECT请求期间发送给代理的头信息。 | 否 | |
scopes | list(string) | 认证的权限列表。 | 否 | |
token_url | 字符串 | 获取令牌的URL。 | 否 |
client_secret 和 client_secret_file 是互斥的,且在 oauth2 块内部只能提供其中一个。
oauth2 块还可以包含一个单独的 tls_config 子块。
no_proxy 可以包含IP、CIDR表示法和域名。IP和域名可以包含端口号。proxy_url必须在配置no_proxy时配置。
proxy_from_environment 使用HTTP_PROXY、HTTPS_PROXY和NO_PROXY(或其小写形式)环境变量。除非被NO_PROXY排除,否则请求使用与环境变量匹配的代理。如果配置了proxy_from_environment,则必须配置proxy_url和no_proxy。
只有在配置了proxy_url或proxy_from_environment时,才应配置proxy_connect_header。
tls_config 块
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
ca_pem | 字符串 | 用于验证服务器的CA PEM编码文本。 | 否 | |
ca_file | 字符串 | 用于验证服务器的CA证书。 | 否 | |
cert_pem | 字符串 | 客户端认证的证书PEM编码文本。 | 否 | |
cert_file | 字符串 | 客户端认证的证书文件。 | 否 | |
insecure_skip_verify | bool | 禁用服务器证书的验证。 | 否 | |
key_file | 字符串 | 客户端认证的密钥文件。 | 否 | |
key_pem | secret | 客户端认证的密钥PEM编码文本。 | 否 | |
min_version | 字符串 | 可接受的最低TLS版本。 | 否 | |
server_name | 字符串 | 指示服务器名称的ServerName扩展。 | 否 |
以下参数对互斥,不能同时设置
ca_pem和ca_filecert_pem和cert_filekey_pem和key_file
在配置客户端认证时,必须同时提供客户端证书(使用cert_pem或cert_file)和客户端密钥(使用key_pem或key_file)。
如果未提供 min_version,则可接受的最低TLS版本继承自Go的默认最低版本,TLS 1.2。如果提供了 min_version,则必须将其设置为以下字符串之一
"TLS10"(TLS 1.0)"TLS11"(TLS 1.1)"TLS12"(TLS 1.2)"TLS13"(TLS 1.3)
clustering 块
| 名称 | 类型 | 描述 | 默认值 | 必需 |
|---|---|---|---|---|
enabled | bool | 与其他集群节点一起分发日志收集。 | 是 |
当 Alloy 使用集群模式,并且 enabled 设置为 true 时,此 loki.source.kubernetes 组件实例将选择参与集群,以在所有集群节点之间分配日志收集的负载。
如果 Alloy 未以集群模式运行,则该代码块不执行任何操作,loki.source.kubernetes 会收集其参数中收到的每个目标上的日志。
集群模式只查看以下标签以确定分片键
__pod_namespace____pod_name____pod_container_name____pod_uid____meta_kubernetes_namespace__meta_kubernetes_pod_name__meta_kubernetes_pod_container_name__meta_kubernetes_pod_uidcontainerpodjobnamespace
导出字段
loki.source.kubernetes 不导出任何字段。
组件健康状态
loki.source.kubernetes 仅在配置无效时报告为不健康。
调试信息
loki.source.kubernetes 为每个目标暴露一些目标级别的调试信息
- 与目标关联的标签。
- 服务发现过程中找到的完整标签集。
- 最近一次读取并转发到管道中下一个组件的日志行的时间。
- 如果有,最近一次从尾部跟踪的错误。
调试指标
loki.source.kubernetes 不暴露任何特定于组件的调试指标。
示例
此示例从所有 Kubernetes Pods 收集日志并将它们转发到 loki.write 组件,以便写入 Loki。
discovery.kubernetes "pods" {
role = "pod"
}
loki.source.kubernetes "pods" {
targets = discovery.kubernetes.pods.targets
forward_to = [loki.write.local.receiver]
}
loki.write "local" {
endpoint {
url = sys.env("LOKI_URL")
}
}兼容组件
loki.source.kubernetes 可以接受以下组件的参数
- 导出 目标 的组件
- 导出 Loki
LogsReceiver的组件
注意
连接某些组件可能没有意义,或者组件可能需要进一步配置才能正确连接。请参阅相关文档以获取更多详细信息。
