loki.source.kubernetes
loki.source.kubernetes 利用 Kubernetes API 从 Kubernetes 容器中读取日志,与 loki.source.file 相比,有以下优点:
- 无需特权容器即可运行。
- 无需 root 用户即可运行。
- 无需访问 Kubernetes 节点的文件系统即可运行。
- 不需要 DaemonSet 收集日志,因此一个 Alloy 可以收集整个集群的日志。
注意
由于loki.source.kubernetes使用 Kubernetes API 来跟踪日志,因此比loki.source.file使用更多的网络流量和 Kubelets 的 CPU 消耗。
可以通过指定不同的标签来指定多个 loki.source.kubernetes 组件。
用法
loki.source.kubernetes "LABEL" {
targets = TARGET_LIST
forward_to = RECEIVER_LIST
}参数
该组件为给定的每个 targets 启动一个新的读取器,并将日志条目广播到 forward_to 中传入的接收器列表。
loki.source.kubernetes 支持以下参数
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
targets | list(map(string)) | 要读取的文件列表。 | 是 | |
forward_to | list(LogsReceiver) | 要发送日志条目的接收器列表。 | 是 |
targets 中的每个目标必须有以下标签
__meta_kubernetes_namespace或__pod_namespace__指定要跟踪的 pod 的命名空间。__meta_kubernetes_pod_name或__pod_name__指定要跟踪的 pod 的名称。__meta_kubernetes_pod_container_name或__pod_container_name__指定 pod 内要跟踪的容器。__meta_kubernetes_pod_uid或__pod_uid__指定要跟踪的 pod 的 UID。
默认情况下,当使用输出 discovery.kubernetes 时,所有这些标签都是存在的。
为 targets 中的每个唯一目标启动一个日志跟踪器。如果日志流在容器永久终止之前返回,则日志跟踪器将以指数退避的方式重新连接到 Kubernetes。
块
在 loki.source.kubernetes 的定义中支持以下块
| 层次结构 | 块 | 描述 | 必需 |
|---|---|---|---|
| client | client | 配置用于跟踪日志的 Kubernetes 客户端。 | 否 |
| client > basic_auth | basic_auth | 配置用于端点的基本身份验证。 | 否 |
| client > authorization | authorization | 配置端点的通用身份验证。 | 否 |
| client > oauth2 | oauth2 | 配置用于端点的 OAuth2 身份验证。 | 否 |
| client > oauth2 > tls_config | tls_config | 配置连接到端点的 TLS 设置。 | 否 |
| client > tls_config | tls_config | 配置连接到端点的 TLS 设置。 | 否 |
| clustering | clustering | 配置 alloy 集群模式下运行的组件。 | 否 |
符号 > 表示嵌套的更深层级。例如,client > basic_auth 指的是定义在 client 块内部的 basic_auth 块。
client 块
client 块用于配置 Kubernetes 客户端,它用于跟踪容器的日志。如果没有提供 client 块,则使用默认的集群配置,该配置使用运行 Alloy pod 的服务账号进行。
以下参数得到了支持
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
api_server | 字符串 | Kubernetes API 服务器的 URL。 | 否 | |
kubeconfig_file | 字符串 | 用于连接到 Kubernetes 的 kubeconfig 文件的路径。 | 否 | |
bearer_token_file | 字符串 | 包含用于身份验证的 bearer token 的文件。 | 否 | |
bearer_token | 秘密 | 用于身份验证的 bearer token。 | 否 | |
enable_http2 | 布尔类型 | 是否支持 HTTP2 用于请求。 | 是 | 否 |
follow_redirects | 布尔类型 | 是否应遵循服务器返回的重定向。 | 是 | 否 |
proxy_url | 字符串 | 通过其发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 以逗号分隔的 IP 地址、CIDR 表示法和域名列表,不包括代理。 | 否 | |
proxy_from_environment | 布尔类型 | 使用环境变量指示的代理 URL。 | 否 | 否 |
proxy_connect_header | map(list(secret)) | 指定在连接请求期间发送到代理的头信息。 | 否 |
以下参数中最多可以提供其中一个
no_proxy 可以包含 IPs、CIDR 表示法和域名。IP 和域名可以包含端口号。《proxy_url》必须配置,如果配置了 no_proxy。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的草写形式)。请求使用与它们的方案相匹配的环境变量中的代理,除非被 NO_PROXY 排除。《proxy_url》和 no_proxy 必须未配置,如果配置了 proxy_from_environment。
proxy_connect_header 应仅在配置了 proxy_url 或 proxy_from_environment 时配置。
basic_auth 块
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
password_file | 字符串 | 包含基本认证密码的文件。 | 否 | |
password | 秘密 | 基本认证密码。 | 否 | |
username | 字符串 | 基本认证用户名。 | 否 |
password 和 password_file 是互斥的,并且在一个 basic_auth 块内只能提供一个。
authorization 块
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
credentials_file | 字符串 | 包含机密值的文件。 | 否 | |
credentials | 秘密 | 机密值。 | 否 | |
type | 字符串 | 授权类型,例如,“Bearer”。 | 否 |
credential 和 credentials_file 是互斥的,并且在一个 authorization 块内只能提供一个。
oauth2 块
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
client_id | 字符串 | OAuth2 客户端 ID。 | 否 | |
client_secret_file | 字符串 | 包含 OAuth2 客户端密钥的文件。 | 否 | |
client_secret | 秘密 | OAuth2 客户端密钥。 | 否 | |
endpoint_params | map(string) | 追加到令牌 URL 的可选参数。 | 否 | |
proxy_url | 字符串 | 通过其发送请求的 HTTP 代理。 | 否 | |
no_proxy | 字符串 | 以逗号分隔的 IP 地址、CIDR 表示法和域名列表,不包括代理。 | 否 | |
proxy_from_environment | 布尔类型 | 使用环境变量指示的代理 URL。 | 否 | 否 |
proxy_connect_header | map(list(secret)) | 指定在连接请求期间发送到代理的头信息。 | 否 | |
scopes | list(string) | 用于身份验证的作用域列表。 | 否 | |
token_url | 字符串 | 从中获取令牌的 URL。 | 否 |
client_secret 和 client_secret_file 是互斥的,并且在一个 oauth2 块内只能提供一个。
oauth2 块还可以包含一个独立的 tls_config 子块。
no_proxy 可以包含 IPs、CIDR 表示法和域名。IP 和域名可以包含端口号。《proxy_url》必须配置,如果配置了 no_proxy。
proxy_from_environment 使用环境变量 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY(或它们的草写形式)。请求使用与它们的方案相匹配的环境变量中的代理,除非被 NO_PROXY 排除。《proxy_url》和 no_proxy 必须未配置,如果配置了 proxy_from_environment。
proxy_connect_header 应仅在配置了 proxy_url 或 proxy_from_environment 时配置。
tls_config 块
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
ca_pem | 字符串 | 用于验证服务器的 PEM 编码的 CA 文本。 | 否 | |
ca_file | 字符串 | 用于验证服务器的 CA 证书。 | 否 | |
cert_pem | 字符串 | 用于客户端认证的 PEM 编码的证书文本。 | 否 | |
cert_file | 字符串 | 客户端认证的证书文件。 | 否 | |
insecure_skip_verify | 布尔类型 | 禁用服务器证书的验证。 | 否 | |
key_file | 字符串 | 客户端认证的密钥文件。 | 否 | |
key_pem | 秘密 | 用于客户端认证的 PEM 编码的密钥文本。 | 否 | |
min_version | 字符串 | 最小可接受的 TLS 版本。 | 否 | |
server_name | 字符串 | ServerName 扩展,表示服务器名称。 | 否 |
以下参数对是互斥的,不能同时设置
ca_pem和ca_filecert_pem和cert_filekey_pem和key_file
在配置客户端身份验证时,必须提供客户端证书(使用 cert_pem 或 cert_file)和客户端密钥(使用 key_pem 或 key_file)。
如果没有提供 min_version,则最小可接受的 TLS 版本继承自 Go 的默认最小版本,TLS 1.2。如果提供了 min_version,则必须将其设置为以下字符串之一:
"TLS10"(TLS 1.0)"TLS11"(TLS 1.1)"TLS12"(TLS 1.2)"TLS13"(TLS 1.3)
集群块
| 名称 | 类型 | 描述 | 默认 | 必需 |
|---|---|---|---|---|
启用 | 布尔类型 | 与其他集群节点一起分发日志收集。 | 是 |
当 Alloy 使用集群 并将 enabled 设置为 true 时,则此 loki.source.kubernetes 组件实例登记参与集群,以便在所有集群节点之间分配日志收集的负载。
如果 Alloy 未以集群模式运行,则此块无效,且 loki.source.kubernetes 会从它在参数中收到的每个目标收集日志。
导出的字段
loki.source.kubernetes 不导出任何字段。
组件健康状态
loki.source.kubernetes 只有在给出无效配置时才会报告为不健康。
调试信息
loki.source.kubernetes 每个目标都会暴露一些目标级别的调试信息
- 与目标关联的标签。
- 在服务发现期间找到的全部标签集合。
- 读取并转发到管道中下一个组件的最新日志行的时间。
- 如果有的话,追踪日志的最新错误。
调试指标
loki.source.kubernetes 不暴露任何特定于组件的调试指标。
示例
此示例收集所有 Kubernetes 容器的日志并将它们转发到 loki.write 组件,以便将它们写入 Loki。
discovery.kubernetes "pods" {
role = "pod"
}
loki.source.kubernetes "pods" {
targets = discovery.kubernetes.pods.targets
forward_to = [loki.write.local.receiver]
}
loki.write "local" {
endpoint {
url = env("LOKI_URL")
}
}兼容组件
loki.source.kubernetes 可以接受来自以下组件的参数
- 导出 目标 的组件
- 导出 Loki
LogsReceiver的组件
注意
连接某些组件可能不合理,或者组件可能需要进一步的配置才能正确连接。请参阅相关文档以获取更多详细信息。
