Elastic:使用 Filebeat 监视 Kubernetes 上的 Elastic Stack

原创 于 2020-04-28 17:23:10 发布 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#elasticsearch #大数据

本文详细介绍如何在Kubernetes环境中部署Filebeat,实现对ElasticStack的监控。通过配置证书和修改部署参数,确保Filebeat能顺利访问Elasticsearch。

在今天的文章中,我们将会在 Kubernetes 上部署 Filebeat,并使用 Filebeat 来监视 Kubernetes 中的 Elastic Stack 的运行情况。如果你还没有部署自己的 Kubernetes 的话,请参阅我之前的文章 “在Kubernetes多节点集群部署Elastic Stack”。

我们之前的部署情况是这样的:

 

准备工作

在我们的 Kubernete 启动起来过后,我们其实并不需要每次都登录到 kmaster 进行操作。我们可以在 Host 机器上安装 kubectl,并同时把kmaster机器里的文件目录 .kube 的内容复制到 host MacOS 机器的 home 目录。针对我的情况:

$ pwd
/Users/liuxg
liuxg:~ liuxg$ ls .kube/
cache      config     http-cache shell

也就是在我们的 host 机器的 home 目录下,复制了一份和 kmaster home 目录下一摸一样的 .kube 目录。这样我们直接可以在 host 集群上对 kubernetes 进行操作:

$ pwd
/Users/liuxg
liuxg:~ liuxg$ kubectl get pods
NAME                             READY   STATUS    RESTARTS   AGE
quickstart-es-default-0          1/1     Running   1          2d2h
quickstart-kb-6f487c444d-7kzwb   1/1     Running   1          2d1h

在 Kubernetes 上部署 Filebeat

为了能让 Filebeat 访问 Elasticsearch,我们必须为我们的 Filebeat 配置证书:

kubectl get secrets
$ kubectl get secrets
NAME                                   TYPE                                  DATA   AGE
default-quickstart-kibana-user         Opaque                                3      2d4h
default-token-z5j79                    kubernetes.io/service-account-token   3      2d23h
quickstart-es-default-es-config        Opaque                                1      2d22h
quickstart-es-elastic-user             Opaque                                1      2d22h
quickstart-es-http-ca-internal         Opaque                                2      2d22h
quickstart-es-http-certs-internal      Opaque                                3      2d22h
quickstart-es-http-certs-public        Opaque                                2      2d22h
quickstart-es-internal-users           Opaque                                3      2d22h
quickstart-es-transport-ca-internal    Opaque                                2      2d22h
quickstart-es-transport-certificates   Opaque                                3      2d22h
quickstart-es-transport-certs-public   Opaque                                1      2d22h
quickstart-es-xpack-file-realm         Opaque                                3      2d22h
quickstart-kb-config                   Opaque                                2      2d4h
quickstart-kb-es-ca                    Opaque                                2      2d4h
quickstart-kb-http-ca-internal         Opaque                                2      2d4h
quickstart-kb-http-certs-internal      Opaque                                3      2d4h
quickstart-kb-http-certs-public        Opaque                                2      2d4h
quickstart-kibana-user                 Opaque                                1      2d4h

上面显示了 Kubernetes 的所有的 secret。还记得我们之前密码的来处吗?它就是来自上面的 quickstart-es-elastic-user。对于 Filebeat 所需要用到的证书,它将来自 quickstart-es-http-certs-public。我们将把这个拷入到 Filebeat 的容器中,以使得 Filebeat 能够正常访问我们的 Elasticsearch。

我们参照链接 “Run Filebeat on Kubernetes”, 我们首先来下载在如下地址的 yaml 文件:

curl -L -O https://raw.githubusercontent.com/elastic/beats/master/deploy/kubernetes/filebeat-kubernetes.yaml

经过实测,发现在中国地区有困难下载这个文件。我们需要找到一些办法下载这个问件。我们接下来需要对这个文件来进行修改。完整的 filebeat-kubernetes.yaml 文件,我放在github上:https://github.com/liu-xiao-guo/filebeat-kubernetes

1)这个文件里的所有的 namespace 都是针对 kube-system 的,我们需要把它修改为我们 Elastic Stack 所部署的 namespace:

$ kubectl get ns
NAME                   STATUS   AGE
default                Active   2d23h
elastic-system         Active   2d23h
kube-node-lease        Active   2d23h
kube-public            Active   2d23h
kube-system            Active   2d23h
kubernetes-dashboard   Active   2d23h

我们知道,Elastics Stack 部署在 default namespace 里,所有我们需要把文件里所有的 kube-system 替换为 default。

2) 依据文档中的介绍,它使用的是 filebeat:8.0.0 的版本,显然这个不是我们所需要的版本,而且目前 Elastic Stack 的最新的版本是7.6.2。我们部署的 Elastic Stack 的版本也是7.6.2。所以这个部分我们需要做修改。把版本改为7.6.2 (在写这篇文章的时候,由于一些原因,7.6.2的 image 下载有困难。尝试7.5.2是成功的)。

3)配置 Filebeat 访问 Elasticsearch 所需要的证书(ConfigMap 部分):

    cloud.id: ${ELASTIC_CLOUD_ID}
    cloud.auth: ${ELASTIC_CLOUD_AUTH}

    output.elasticsearch:
      hosts: ['${ELASTICSEARCH_HOST:elasticsearch}:${ELASTICSEARCH_PORT:9200}']
      username: ${ELASTICSEARCH_USERNAME}
      password: ${ELASTICSEARCH_PASSWORD}
      ssl.certificate_authorities:
        - /etc/certificate/ca.crt

在上面的部分,我添加了:

      ssl.certificate_authorities:
        - /etc/certificate/ca.crt

目前这个证书还在当前的容器中还不存在。我们需要配置这个证书。

4) 挂载证书

我们找到 DaemonSet 如下的配置部分下的 volumeMoints 及 volumes:

apiVersion: apps/v1
kind: DaemonSet

并做相应的修改:

请注意上面红色框的部分。这些部分是我们需要添加的部分。它把我们上面所说的证书挂载到每个容器的 /etc/certificate/ca.crt 位置。

5)配置 Elasticsearch 服务

我们还是针对上面的 DaemonSet 的配置,找到 ELASTICSEARCH_HOST 部分。它需要配置为 Elasticsearch 的服务。我们可以通过如下的命令来找到 Elasticsearch 的服务:

 kubectl get svc
$ kubectl get svc
NAME                    TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)          AGE
kubernetes              ClusterIP   10.96.0.1        <none>        443/TCP          3d
quickstart-es-default   ClusterIP   None             <none>        <none>           2d23h
quickstart-es-http      NodePort    10.111.1.15      <none>        9200:31308/TCP   2d23h
quickstart-kb-http      NodePort    10.109.179.162   <none>        5601:31249/TCP   2d5h

上面显示 quickstart-es-http 是我们的 Elasticsearc h的服务。我们需要做如下的修改:

我们需要把 Elasticsearch 的服务填上,并把我们之前得到的密码填入。

好了我们的修改的工作已经完成了。我们接下来打入如下的命令:

kubectl create -f filebeat-kubernetes.yaml
$ kubectl create -f filebeat-kubernetes.yaml 
configmap/filebeat-config created
daemonset.apps/filebeat created
clusterrolebinding.rbac.authorization.k8s.io/filebeat created
clusterrole.rbac.authorization.k8s.io/filebeat created
serviceaccount/filebeat created
$ kubectl get all 
NAME                                 READY   STATUS              RESTARTS   AGE
pod/filebeat-cv7tb                   0/1     ContainerCreating   0          44s
pod/quickstart-es-default-0          1/1     Running             3          2d6h
pod/quickstart-kb-6f487c444d-7kzwb   1/1     Running             3          2d5h


NAME                            TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)          AGE
service/kubernetes              ClusterIP   10.96.0.1        <none>        443/TCP          3d
service/quickstart-es-default   ClusterIP   None             <none>        <none>           2d23h
service/quickstart-es-http      NodePort    10.111.1.15      <none>        9200:31308/TCP   2d23h
service/quickstart-kb-http      NodePort    10.109.179.162   <none>        5601:31249/TCP   2d5h

NAME                      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
daemonset.apps/filebeat   1         1         0       1            0           <none>          45s

NAME                            READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/quickstart-kb   1/1     1            1           2d5h

NAME                                       DESIRED   CURRENT   READY   AGE
replicaset.apps/quickstart-kb-6f487c444d   1         1         1       2d5h

NAME                                     READY   AGE
statefulset.apps/quickstart-es-default   1/1     2d23h

从上面,我们可以看出来 filebeat 已经被创建起来了。

$ kubectl get pods
NAME                             READY   STATUS    RESTARTS   AGE
filebeat-xclxx                   1/1     Running   0          3m59s
quickstart-es-default-0          1/1     Running   3          2d7h
quickstart-kb-6f487c444d-7kzwb   1/1     Running   3          2d6h

我们可以通过如下的名来查看 Filebeat 的启动 log:

kubectl logs -f filebeat-xclxx

在 log 里,我们可以看到诸如:

从上面,我们可以看出来,我们的 Filebeat 已经成功地连接到 Elasticsearch。

 

在 Kibana 中查看数据

我们现在打开 Kibana 界面:

我们打开 Index Management 的界面,我可以看到有一个 filebeat-7.5.2-2020.04.28-000001 的索引。这个就是我们的 Filebeat 收集所有的 pod 的索引。我们创建一个 filebeat-* 的index pattern:

点击 Next step:

点击 Create index pattern:

我们可以选择感谢的 pod 来进行监测:

 

博客
Elastic 线下 Meetup 将于 2026 年 1 月 10 号下午在北京举行
11-24 1944
2026年ElasticMeetup北京站将于1月10日在腾讯北京总部举办。活动邀请Elastic、腾讯及新智锦绣专家分享前沿技术,包括Elasticsearch向量搜索与AI应用、MCP超级大脑在智能运维中的实践、腾讯云ES的AI能力建设,以及搜索范式从排序到过滤的转变等主题。现场提供茶歇交流机会,并有抽奖环节。报名需实名登记,成功报名后需联系工作人员获取访客码。活动详情及报名链接:https://elastic.huodongxing.com/event/5835577361800
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
开始使用 Elastic Agent Builder 和 Strands Agents SDK
12-16 123
本文介绍了如何使用ElasticAgentBuilder创建AI代理,并通过A2A协议在StrandsAgentsSDK中进行编排。主要内容包括:1)在Elasticsearch中创建索引并添加RPS+游戏数据;2)使用AgentBuilder创建自定义工具和游戏代理;3)通过StrandsAgentsSDK开发Python应用,实现更完善的游戏逻辑(隐藏代理选择直到玩家出招)。文章提供了详细的操作步骤,展示了如何将Elasticsearch数据与AI代理结合,以及如何使用StrandsAgentsSDK进
博客
亲爱的圣诞老人,这里有一点小小的帮助,献给圣诞节
12-15 481
摘要:圣诞老人采用Elasticsearch技术栈替代传统纸质档案,使用escli-rs命令行工具高效管理全球儿童礼物派送数据。该工具支持快速查询、脚本自动化、CSV导出和智能补全功能,帮助圣诞老人在飞行途中也能轻松查询乖巧名单和礼物偏好。通过.env配置安全连接后,精灵们成功将儿童数据批量导入Elasticsearch集群,使圣诞物流系统实现现代化升级。工具内置的--help功能让复杂的API操作变得简单,确保数十亿礼物准时送达。
博客
在 Google MCP Toolbox for Databases 中引入 Elasticsearch 支持
12-13 1084
本文介绍了Google MCP Toolbox新增的Elasticsearch支持功能,演示了如何通过ES|QL工具安全地将Elasticsearch索引与MCP客户端集成。文章详细说明了安装Elasticsearch实例和示例数据集的方法,并展示了如何配置MCP Toolbox连接到Elasticsearch进行自然语言查询。通过Gemini CLI等MCP客户端工具,用户可以轻松查询电商订单数据。该集成提供了轻量级工具定义和安全基础设施,为构建数据感知型AI应用提供了新可能。
博客
Streams 处理:告别 Grok 的困扰 - 在 Streams 中解析你的日志
12-12 1078
Elastic 9.2推出的Streams功能革新了日志解析体验,将复杂的数据处理转变为直观的UI操作。该功能支持AI自动生成Grok规则、实时模拟测试、条件处理等,能快速解决非结构化日志问题。用户无需离开Kibana即可完成解析规则的创建、测试和部署,特别适合处理混合数据流和遗留系统日志。Streams基于Elasticsearch ingest pipeline构建,既支持ECS也兼容OTel模式,是日志处理的"全能解决方案"。
博客
从数据到部署:推进美国州政府中 AI agent 的负责任使用
12-12 877
美国州政府正积极运用AI技术提升公共服务效率,AIagent成为继聊天机器人后的新焦点。弗吉尼亚州率先推出监管分析AI工具,展示创新应用前景。成功部署AI需三大支柱:高质量数据基础(目前仅23%州有数据治理计划)、系统互操作性和安全保障。工具如Elastic Agent Builder能帮助机构安全协作、自动化流程。专家建议通过公私合作模式,结合技术专业与政策监管,推动负责任AI发展。本文强调数据治理是AI应用的核心,良好数据实践将奠定可信AI基础,但提醒需注意第三方AI工具的数据安全风险。(149字)
博客
Elasticsearch:使用判断列表评估搜索查询相关性
12-12 824
本文介绍了如何使用判断列表(Judgment Lists)来系统评估Elasticsearch搜索查询的相关性。判断列表包含固定查询及其对应相关结果,通过计算recall等指标客观衡量搜索性能改进。文章详细说明了构建判断列表的三种方法(显式、隐式和AI生成判断)及适用场景,并以电影评分应用为例,演示如何通过Ranking Evaluation API计算指标。最后提出建议:从小规模关键查询开始,结合A/B测试验证,定期更新列表,并将其集成到开发流程中,从而实现从技术指标到业务价值的闭环评估。
博客
2026 年的可观测性趋势:成熟度、成本控制与推动业务价值
12-11 607
​过去几年,可观测性领域经历了根本性变革。在最近由 Dimensional Research 进行、Elastic 赞助的报告《2026 年的可观测性格局:平衡成本与创新》中,对 500 多名 IT 决策者进行了调查。结果显示,可观测性已经从可选能力明确转变为关键的业务职能。这一转变在帮助组织优化投资和将可观测性效益延伸到传统 IT 运维之外的同时,也带来了机遇与挑战。以下是未来一年的趋势预测。
博客
Elastic 推出按需免费培训
12-11 1229
摘要:Elastic宣布将付费培训改为免费开放,推出按需学习模块,包含短视频、动手练习等灵活形式。新培训涵盖ES|QL安全查询、AI助手等主题,并推出免费认证考试(含GenAI认证)。未来将扩展更多模块,优化学习路径。用户可通过Elastic Training官网立即开始学习。注意:功能发布时间以Elastic官方为准。
博客
如何通过个性化、分群感知排序来提升电商搜索相关性
12-11 1253
本文介绍了在Elasticsearch中实现电商个性化搜索的方法。通过为商品添加分群标签(如"luxury"、"budget"),并结合用户画像,使用乘法提升策略来优化搜索结果排序。这种方法避免了加法式提升的不稳定性,确保相关性高的商品始终优先,同时根据用户偏好给予适度提升。文章详细展示了如何通过function_score查询实现这一策略,包括索引设计、查询构建和权重调整。该方法简单易行,无需机器学习模型,就能实现可预测、可解释的个性化搜索体验。
博客
使用 Elastic Observability 排查你的 Agents 和 Amazon Bedrock AgentCore
12-10 727
摘要:Elastic推出针对Amazon Bedrock Agent Core的可观测性集成方案,实现端到端的Agentic AI监控。该方案通过结合平台层指标(Runtime、Gateway、Memory、Identity组件)和应用层OpenTelemetry追踪,解决非确定性行为、黑盒执行和成本盲点等核心挑战。功能包括预置仪表盘、告警模板、分布式追踪瀑布图,以及AI驱动的日志分析(Streams)和专属SRE助手。方案支持从CloudWatch自动采集指标,并通过OTel实现应用级埋点,提供从模型推理
博客
快速找到答案,将 OpenTelemetry traces 与 Elastic Observability 中现有的 ECS 日志关联起来
12-10 763
摘要:本文介绍了如何通过Elastic Observability将OpenTelemetry traces与ECS日志关联,实现现代可观测性与传统ECS系统的兼容。使用Elastic Distribution of OpenTelemetry(EDOT)的Java SDK注入trace.id和span.id到ECS日志中,并通过EDOT Collector采集处理,确保数据在Kibana中的关联性。文章演示了从混合架构到纯OTel的过渡方案,既保留现有ECS投资,又支持向OTel原生标准的平滑迁移。
博客
AutoOps 实际应用:调查 ECK 上的 Elasticsearch 集群性能
12-10 949
Elastic的InfoSec团队在多集群ECK环境中部署AutoOps,显著提升了运维效率。通过实时问题检测和可视化分析,将集群性能调查时间从30分钟缩短至5分钟。团队采用Helm chart实现基础设施即代码管理,利用Cloud Connect功能简化安装流程。实际案例显示,AutoOps能快速定位写入拒绝问题,提供分片热点可视化,并通过集群重路由即时解决问题。该方案为云和本地部署提供统一运维体验,大幅降低了Elasticsearch的运维复杂度。
博客
Jina-VLM:小型多语言视觉语言模型
12-09 1161
Jina-VLM是一款2.4B参数的视觉语言模型,在多语言视觉问答(VQA)任务中达到SOTA水平。该模型创新性地采用attention-pooling连接器,将视觉tokens减少4倍,同时保持性能,使其可在消费级硬件运行。通过两阶段训练流程,模型在29种语言中表现出色,并避免了纯文本能力的灾难性遗忘。目前支持通过API、CLI和Transformers库使用,但存在tiling开销和多图像推理的局限性。
博客
为什么统一的数据、搜索和互操作性对国防任务至关重要
12-09 882
摘要:本文探讨了在多域作战中实现数据敏捷性与主权控制的方法。通过采用开放标准、数据网格架构和AI技术,国防组织可以在保持数据主权的同时实现跨领域安全访问。Elasticsearch平台提供了跨集群搜索、向量搜索等功能,帮助快速分析大规模数据,缩短决策时间。开放标准确保了系统互操作性,支持不同保密级别的数据关联。AI驱动的检索生成技术可在低带宽环境中提供准确情报。这些技术与国防数据战略相契合,为未来作战提供了灵活、可扩展的数据解决方案。
博客
Elasticsearch:过多的副本数量会如何降低性能,以及该如何解决它
12-09 962
摘要:Elasticsearch中合理设置副本数量对集群稳定性至关重要。虽然副本能提高可用性和搜索扩展性,但过多副本会导致写入放大、内存压力、缓存抖动等问题,影响性能。文章分析了高副本数量的适用场景与负面影响,提供了诊断症状和优化建议,强调应根据实际需求而非猜测设置副本数量。通过真实案例说明合理减少副本可显著改善集群稳定性,并澄清了关于副本减少导致节点过载的常见误解。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值