目錄
- Elastic Cloud Kubernetes
- 支持的版本
- 在Kubernetes集群中部署ECK
- 部署ELasticsearch集群
- 創建PV
- 部署ES集群
- 監控集群的健康狀態和創建程序
- 訪問ES集群
- JVM堆設定
- Node配置
- 卷宣告模板
- 虛擬記憶體
- 定制組態檔和插件
- 部署Kibana
- 創建kibana實體并關聯es集群
- 監控kibana健康狀態和創建程序
- 連接kibana
- 總結
Elastic Cloud Kubernetes
Elastic Cloud Kubernetes(ECK)是Elastic官方推出的,基于k8s operator的插件,其擴展了k8s的基礎編排功能,可以輕松地在k8s中安裝、管理 Elasticsearch, Kibana 和 APM集群,
借助ECK,我們可以簡化以下關鍵操作:
- 管理和監控多個集群
- 擴大或縮小集群規模
- 改變集群配置
- 計劃備份
- 使用TLS證書保護集群安全
- 建立具有可用區域意識的hot-warm-cold架構
支持的版本
- kubectl 1.11+
- Kubernetes 1.12+ or OpenShift 3.11+
- Google Kubernetes Engine (GKE), Azure Kubernetes Service (AKS), and Amazon Elastic Kubernetes Service (EKS)
- Elasticsearch, Kibana, APM Server: 6.8+, 7.1+
- Enterprise Search: 7.7+
- Beats: 7.0+
在Kubernetes集群中部署ECK
本文以原生的Kubernetes集群為例,GKE、Amazon EKS上的流程也很類似,
- 安裝custom resource definitions和operator及其RBAC規則
kubectl apply -f https://download.elastic.co/downloads/eck/1.2.1/all-in-one.yaml
- 監控operator的日志
kubectl -n elastic-system logs -f statefulset.apps/elastic-operator
在私有的k8s集群中,可能無法訪問公網,可以先將yaml檔案下載至本地,并修改operator鏡像的地址,all-in-one.yaml是多個yaml檔案的集合,找到statefulset.yaml,并修改其中的image為私有倉庫中鏡像地址,修改–container-registry為私有倉庫地址,
# Source: eck/templates/statefulset.yaml
apiVersion: apps/v1
kind: StatefulSet
metadata:
name: elastic-operator
namespace: elastic-system
labels:
control-plane: elastic-operator
spec:
selector:
matchLabels:
control-plane: elastic-operator
serviceName: elastic-operator
template:
metadata:
annotations:
# Rename the fields "error" to "error.message" and "source" to "event.source"
# This is to avoid a conflict with the ECS "error" and "source" documents.
"co.elastic.logs/raw": "[{\"type\":\"container\",\"json.keys_under_root\":true,\"paths\":[\"/var/log/containers/*${data.kubernetes.container.id}.log\"],\"processors\":[{\"convert\":{\"mode\":\"rename\",\"ignore_missing\":true,\"fields\":[{\"from\":\"error\",\"to\":\"_error\"}]}},{\"convert\":{\"mode\":\"rename\",\"ignore_missing\":true,\"fields\":[{\"from\":\"_error\",\"to\":\"error.message\"}]}},{\"convert\":{\"mode\":\"rename\",\"ignore_missing\":true,\"fields\":[{\"from\":\"source\",\"to\":\"_source\"}]}},{\"convert\":{\"mode\":\"rename\",\"ignore_missing\":true,\"fields\":[{\"from\":\"_source\",\"to\":\"event.source\"}]}}]}]"
labels:
control-plane: elastic-operator
spec:
terminationGracePeriodSeconds: 10
serviceAccountName: elastic-operator
containers:
- image: "your.com/eck-operator:1.2.1"
imagePullPolicy: IfNotPresent
name: manager
args:
- "manager"
- "--log-verbosity=0"
- "--metrics-port=0"
- "--container-registry=your.com"
- "--max-concurrent-reconciles=3"
- "--ca-cert-validity=8760h"
- "--ca-cert-rotate-before=24h"
- "--cert-validity=8760h"
- "--cert-rotate-before=24h"
- "--enable-webhook"
env:
- name: OPERATOR_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
- name: OPERATOR_IMAGE
value: "harbor.dcos.xixian.unicom.local/mtc/eck-operator:1.2.1"
- name: WEBHOOK_SECRET
value: "elastic-webhook-server-cert"
resources:
limits:
cpu: 1
memory: 512Mi
requests:
cpu: 100m
memory: 150Mi
ports:
- containerPort: 9443
name: https-webhook
protocol: TCP
volumeMounts:
- mountPath: /tmp/k8s-webhook-server/serving-certs
name: cert
readOnly: true
volumes:
- name: cert
secret:
defaultMode: 420
secretName: "elastic-webhook-server-cert"
---
如在安裝all-in-one.yaml中出現錯誤,可以將其中的yaml檔案拆分出來單獨安裝,以此來排除錯誤
ECK安裝成功后,會在k8s中創建一個名為elastic-system的命名空間,在該空間中存在一個eck-operator Pod,該Pod會在后臺監控集群的狀態,并依據用戶的指令作出相應的反應,
部署ELasticsearch集群
為了貼近實際應用,這里我們部署一個3個主節點,使用網路塊存盤的ES集群,
創建PV
以ceph存盤為例,創建3塊容量500G的PV
apiVersion: v1
kind: PersistentVolume
metadata:
name: pv-es-data-00 ##pv名稱
spec:
capacity:
storage: 500Gi ## pv大小,與云硬碟大小一致即可
accessModes:
- ReadWriteOnce ## pv讀寫型別,填寫云硬碟支持的型別
mountOptions:
- rw ##掛載型別有只讀(ro),讀寫{rw},掛載型別和accessModes要對應起來
persistentVolumeReclaimPolicy: Retain ##建議選擇Retain模式
csi:
driver: ckecsi ##固定不變
volumeHandle: welkinbig.es-00-608521303445 ##與cbs實體串列介面instanceId欄位對應
fsType: xfs ##掛載檔案系統型別xfs,ext4等
volumeAttributes:
monitors: 10.172.xx.xx:6789,10.172.xx.xx:6789,10.172.xx.xx:6789
pool: welkinbig
imageFormat: "2" ##固定不變
imageFeatures: "layering" ##固定不變
adminId: admin ##固定不變
userId: '60852xxxxxxx' ##賬戶ID
volName: es-00-608521303445 ##云硬碟實體串列介面imageName欄位
mounter: rbd
608521xxxxxx: AQDcz0xf7s2SBhAAqGxxxxxxxxxxxxxxxxxx
admin: AQB4kjxfPP1HLxAAXfixxxxxxxxxxxxxxxxxx
controllerPublishSecretRef:
name: xx-secret ##秘鑰名稱
namespace: default
nodeStageSecretRef:
name: xx-secret
namespace: default
nodePublishSecretRef:
name: xx-secret
namespace: default
部署ES集群
在kubectl中執行以下yaml檔案,
version欄位指定了要安裝的es版本,image標簽指定es鏡像的私有倉庫地址,count為3,表示有3個節點,
node.master: true代表創建的節點為主節點,
node.data: true代表創建的節點為資料節點,可以用于存盤資料,
apiVersion: elasticsearch.k8s.elastic.co/v1
kind: Elasticsearch
metadata:
name: es-cluster
spec:
version: 7.9.0
image: your.com/elasticsearch:7.9.0-ik-7.9.0
nodeSets:
- name: master-nodes
count: 3
config:
node.master: true
node.data: true
volumeClaimTemplates:
- metadata:
name: elasticsearch-data
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 500Gi
podTemplate:
spec:
initContainers:
- name: sysctl
securityContext:
privileged: true
command: ['sh', '-c', 'sysctl -w vm.max_map_count=262144']
containers:
- name: elasticsearch
env:
- name: ES_JAVA_OPTS
value: -Xms4g -Xmx4g
resources:
requests:
cpu: 4
memory: 8Gi
limits:
cpu: 4
memory: 8Gi
監控集群的健康狀態和創建程序
獲取當前es集群狀態資訊,包括健康狀態、版本和節點數量:
kubectl get elasticsearch
NAME HEALTH NODES VERSION PHASE AGE
quickstart green 3 7.9.0 Ready 1m
當集群剛創建時,HEALTH和PHASE應該為空,等待一定時間后,集群創建完畢后,PHASE變為Ready,HEALTH變為green,
可以通過如下命令查看Pod的狀態:
kubectl get pods --selector='elasticsearch.k8s.elastic.co/cluster-name=es-cluster'
NAME READY STATUS RESTARTS AGE
es-cluster-es-default-0 1/1 Running 0 79s
查看Pod的日志:
kubectl logs -f es-cluster-es-default-0
訪問ES集群
ECK會創建一個ClusterIP Service用于訪問es集群:
kubectl get service es-cluster-es-http
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
es-cluster-es-http ClusterIP 10.15.251.145 <none> 9200/TCP 34m
- 獲取訪問憑證
ECK會自動創建一個默認用戶elastic,密碼存盤于k8s secret中:
kubectl get secret es-cluster-es-elastic-user -o go-template='{{.data.elastic | base64decode}}'
- 從集群內部訪問
命令中的password用步驟1中所獲password代替,-k表示忽略證書錯誤
curl -u "elastic:$PASSWORD" -k "https://es-cluster-es-http:9200"
{
"name" : "es-cluster-es-default-0",
"cluster_name" : "es-cluster",
"cluster_uuid" : "XqWg0xIiRmmEBg4NMhnYPg",
"version" : {...},
"tagline" : "You Know, for Search"
}
JVM堆設定
在podTemplate中設定ES_JAVA_OPTS環境變數,來改變es的JVM堆容量,同時,強烈建議將requests和limits設定為相同值,以確保pod在k8s集群中獲取到足夠的資源,
podTemplate:
spec:
containers:
- name: elasticsearch
env:
- name: ES_JAVA_OPTS
value: -Xms2g -Xmx2g
resources:
requests:
memory: 4Gi
cpu: 0.5
limits:
memory: 4Gi
cpu: 2
Node配置
任何定義在elasticsearch.yml組態檔中的設定,都可以在spec.nodeSets[?].config中定義,
spec:
nodeSets:
- name: masters
count: 3
config:
node.master: true
node.data: false
node.ingest: false
node.ml: false
xpack.ml.enabled: true
node.remote_cluster_client: false
- name: data
count: 10
config:
node.master: false
node.data: true
node.ingest: true
node.ml: true
node.remote_cluster_client: false
卷宣告模板
為防止pod被洗掉時丟失資料,OPerator默認會為集群中每個pod創建一個容量為1Gi的PersistentVolumeClaim,在生產環境中,應該定義合適容量的volume claim template和storage class來關聯持久卷,劵宣告的名稱必須是elasticsearch-data,如k8s中沒有使用storage class來管理劵,可以不指定storage class,
取決于k8s配置和底層檔案系統,某些持久卷在創建之后不能改變卷的容量,當定義卷宣告時,考慮未來的存盤需求以確保有足夠的存盤空間來應對業務增長
spec:
nodeSets:
- name: default
count: 3
volumeClaimTemplates:
- metadata:
name: elasticsearch-data
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 500Gi
storageClassName: standard
虛擬記憶體
默認情況下,es使用記憶體映射(memory mapping, mmap)來高效地訪問索引,通常,Linux系統的默認虛擬地址空間較少,不能滿足es的需求,可能導致OOM例外,在生產環境中,建議設定Linux內核引數vm.max_map_count為262144,同時不設定node.store.allow_mmap,
上述內核設定可以在主機中直接修改,也可以通過初始容器來修改,可以使用如下樣例,添加一個可以在es pod啟動前修改內核引數的初始容器:
podTemplate:
spec:
initContainers:
- name: sysctl
securityContext:
privileged: true
command: ['sh', '-c', 'sysctl -w vm.max_map_count=262144']
定制組態檔和插件
有兩種方式來自定義es的組態檔和插件:
- 創建一個已經安裝好組態檔和插件的es鏡像
- 在Pod啟動時安裝插件或組態檔
第一個選項的優點是,可以在ECK安裝鏡像之前驗證其正確性,而第二個選項有最大的靈活性,但是第二個選項意味著只能在運行期間才能發現組態檔的錯誤,同時需要通過公網下載插件,
對于私有集群,可能在集群內無法訪問公網,因此建議通過打包鏡像的方式來安裝插件,下面這個例子介紹如何定制安裝插件的鏡像,
- 創建一個包含如下內容的Dockerfile
FROM elasticsearch:7.9.0
COPY ./elasticsearch-analysis-ik-7.9.0.zip /home/
RUN sh -c '/bin/echo -e "y" | bin/elasticsearch-plugin install file:/home/elasticsearch-analysis-ik-7.9.0.zip'
- 創建鏡像
docker build --tag elasticsearch-ik:7.9.0
上述案例以安裝中文分詞器IK為例,其他插件可修改Dockerfile,
下面的案例介紹了如何為es中的synonym token filter添加同義詞檔案,當然,也可以使用同樣的方式來將任何檔案掛載到es的組態檔目錄,
spec:
nodeSets:
- name: default
count: 3
podTemplate:
spec:
containers:
- name: elasticsearch
volumeMounts:
- name: synonyms
mountPath: /usr/share/elasticsearch/config/dictionaries
volumes:
- name: synonyms
configMap:
name: synonyms
在上述代碼中,需要事先在同一個命名空間中創建包含組態檔的config map,
部署Kibana
連接一個由ECK管理的es集群非常簡單:
創建kibana實體并關聯es集群
apiVersion: kibana.k8s.elastic.co/v1
kind: Kibana
metadata:
name: kibana
spec:
version: 7.9.0
image: your.com/kibana:7.9.0
count: 1
elasticsearchRef:
name: es-cluster
namespace: default
namespace是可選引數,如果es集群和kibana運行在同一個namespace中,
Kibana組態檔會被ECK自動創建,并會在es之間創建安全的鏈接,
監控kibana健康狀態和創建程序
同es型別,可以通過kubectl查詢kibana實體的細節:
kubectl get kibana
查看同實體關聯的pod:
kubectl get pod --selector='kibana.k8s.elastic.co/name=kibana'
連接kibana
ECK會自動為kibana創建一個ClusterIP Service:
kubectl get service kibana-kb-http
kibana的用戶名和密碼同es集群:
curl -u "elastic:$PASSWORD" -k "https://kibana-kb-http:5601"
總結
本文介紹了如何使用ECK在k8s集群中安裝es、kibana,并給出了關鍵引數的設定方式,文中的例子貼近實際的生產環境,具有一定的參考價值,K8s已經成為容器編排事實上標準,由k8s接管資料庫的運維也將是一種趨勢,同管理普通應用程式不同,管理資料庫的難處在于如何持久化資料,k8s給出的解決方案有兩種,一種是hostpath方式,將資料持久化至節點所在宿主機的硬碟上,另一種方式是使用網絡存盤,包括塊存盤或者檔案存盤,同方式一相比,方式二由于存在網路傳輸的損耗,性能上會存在一定差距,但方式二將資料庫的應用和存盤相分離,資料庫可被調度至任意節點,這帶來了更大的靈活性,以及更高的資源利用率,借助于網路存盤的特性,資料有著更高的安全性,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/137358.html
標籤:python
上一篇:成功解決ParserError: Error tokenizing data. C error: Expected 2 fields in line 53, saw 3