Docker容器日志最佳实践

目录


  1. Docker容器最佳实践
  2. 手把手系列 - 搭建 EFK 7 收集 docker 容器日志
  3. 手把手系列 - 搭建 EFK 8 收集 docker 容器日志
  4. 手把手系列 - 使用docker容器搭建efk8

前言

docker 容器现在使用的非常广泛,容器日志管理的问题也紧随其后。 在实际工作中,研发同学也总是问运维 docker 日志要怎么看,大部分运维的回复我相信都是 docker logs -f [容器名] 来查看日志,本文就将 docker 容器日志部分进行梳理。

参考链接:https://www.cnblogs.com/operationhome/p/10907591.html

本文所用操作系统及软件版本如下:

System: CentOS Linux release 7.9.2009 (Core)
Kernel: Linux 3.10.0-1160.el7.x86_64
docker-ce: 20.10.7
  * Storage Driver: overlay2

docker 日志介绍

Docker 日志分为两类:

  • docker 引擎日志(也就是 dockerd 运行时的日志)
  • 容器的日志,容器内服务产生的日志

Docker 引擎日志一般是交给了 Upstart(Ubuntu 14.04) 或者 systemd (CentOS 7, Ubuntu 16.04)。前者一般位于 /var/log/upstart/docker.log 下,后者我们一般 通过 journalctl -u docker 来进行查看。

系统 日志位置
Ubuntu(14.04) /var/log/upstart/docker.log
Ubuntu(16.04) journalctl -u docker.service
CentOS 7/RHEL 7/Fedora journalctl -u docker.service
CoreOS journalctl -u docker.service
OpenSuSE journalctl -u docker.service
OSX ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/log/d‌ocker.log
Debian GNU/Linux 7 /var/log/daemon.log
Debian GNU/Linux 8 journalctl -u docker.service
Boot2Docker /var/log/docker.log

在 centos 系统中,使用 journalctl -u docker.service 查看docker 引擎日志,实际日志是记录在 /var/log/messages 中。

容器日志

常用查看日志命令

docker logs [容器名] 显示当前运行的容器的日志信息, UNIX 和 Linux 的命令有三种 输入输出,分别是 STDIN(标准输入)、STDOUT(标准输出)、STDERR(标准错误输出),docker logs 显示的内容包含 STOUT 和 STDERR。在生产环境,如果我们的应用输出到我们的日志文件里,所以我们在使用 docker logs 一般收集不到太多重要的日志信息。

nginx 官方镜像,使用了一种方式,让日志输出到 stdout,也就是创建一个符号链接 /var/log/nginx/access.log -> /dev/stdout

root@elk(192.168.1.103)/root> docker exec -it ngx sh 
/ # ls -l /var/log/nginx/access.log 
lrwxrwxrwx    1 root     root            11 Jun 23 03:20 /var/log/nginx/access.log -> /dev/stdout

/ # ls -l /var/log/nginx/error.log 
lrwxrwxrwx    1 root     root            11 Jun 23 03:20 /var/log/nginx/error.log -> /dev/stderr

httpd 使用的是让其输出到指定文件,正常日志输出到 /proc/self/fd/1 (stdout) ,错误日志输出到 /proc/self/fd/2 (stderr)

root@195ed4a0585f:/usr/local/apache2/conf# egrep -ri --color fd httpd.conf 
ErrorLog /proc/self/fd/2
    CustomLog /proc/self/fd/1 common

当日志量比较大的时候,使用 docker logs 来查看日志会对 docker daemon 造成比较大的压力,容易导致容器创建慢等一系列问题。

只有使用了 local | json-file | journald 日志驱动的容器才可以使用 docker logs 捕获日志,使用其他日志驱动无法使用 docker logs 

docker 日志驱动

支持的驱动

描述
none 运行的容器没有日志,docker logs也不返回任何输出。
local 日志以自定义格式存储,旨在实现最小开销。
json-file 日志格式为JSON。Docker的默认日志记录驱动程序。
syslog 将日志消息写入syslog。该syslog守护程序必须在主机上运行。
journald 将日志消息写入journald。该journald守护程序必须在主机上运行。
gelf 将日志消息写入Graylog扩展日志格式(GELF)端点,例如Graylog或Logstash。
fluentd 将日志消息写入fluentd(转发输入)。该fluentd守护程序必须在主机上运行。
awslogs 将日志消息写入Amazon CloudWatch Logs。
splunk 使用HTTP事件收集器将日志消息写入splunk
etwlogs 将日志消息写为Windows事件跟踪(ETW)事件。仅适用于Windows平台。
gcplogs 将日志消息写入Google Cloud Platform(GCP)Logging。
logentries 将日志消息写入Rapid7 Logentries。

使用 docker-ce 版本, docker logs 命令仅仅适用以下驱动

  • local
  • json-file
  • journald

image-20220629135101590

  • 查看系统当前设置的日志驱动
docker info | egrep -i "logging driver"

or

docker info -f '{{.LoggingDriver}}'
  • 查看单个容器设置的日志驱动
docker inspect -f '{{.HostConfig.LogConfig.Type}}' [容器ID]

修改全局日志驱动

在配置文件 /etc/daemon.json (注意该文件内容为JSON 格式)进行配置即可。

示例:

{
	"log-driver": "syslog"
}

修改单一容器日志驱动

docker run -itd --log-driver none alpine sh  # 这里指定的日志驱动为 none

1. 日志驱动:local

local 日志驱动记录从容器的 stdout/stderr 的输出,并写到宿主机的磁盘。

默认情况下,local 日志驱动为每个容器保留 100MB 的日志信息,并启动自动压缩来保存。

local 日志驱动的存储位置

/var/lib/docker/containers/容器id/local-logs/container.log

local 驱动支持的选项

选项 描述 示例值
max-size 切割之前日志的最大大小。可取值为(k,m,g), 默认为20m。 --log-opt max-size=10m
max-file 可以存在的最大日志文件数。如果超过最大值,则会删除最旧的文件。**仅在max-size设置时有效。默认为5。 --log-opt max-file=3
compress 对应切割日志文件是否启用压缩。默认情况下启用。 --log-opt compress=false

以 local 日志驱动启动容器

docker run -itd --log-driver local alpine ping 127.0.0.1

查看local日志:

tailf /var/lib/docker/containers/ce58493e28e3089bb55c04ad1e2aad4dd6bd752ca37852bf8c690f97430d9a2a/local-logs/container.log

image-20220629144232987

使用 local 日志驱动出来的日志会出现乱码,日常不适用。

2. 默认的日志驱动:json-file

json-file 也是 docker-ce 默认容器的日志驱动。

json-file 日志驱动 记录从容器的 STOUT/STDERR 的输出 ,用 JSON 的格式写到文件中,日志中不仅包含着 输出日志,还有时间戳和 输出格式。下面是一个 ping 127.0.0.1 对应的 JSON 日志

{"log":"64 bytes from 127.0.0.1: seq=8 ttl=64 time=0.152 ms\r\n","stream":"stdout","time":"2022-06-29T06:42:41.932442509Z"}

json-file 日志的路径位于 /var/lib/docker/containers/container_id/container_id-json.log

json-file 的 日志驱动支持以下选项:

Option Description Example value
syslog-address 指定syslog 服务所在的服务器和使用的协议和端口。 格式:`[tcp udp
syslog-facility 使用的 syslog 的设备, 具体设备名称见 syslog documentation. --log-opt syslog-facility=daemon
syslog-tls-ca-cert 如果使用的是 tcp+tls 的地址,指定CA 证书的地址,如果没有使用,则不设置该选项。 --log-opt syslog-tls-ca-cert=/etc/ca-certificates/custom/ca.pem
syslog-tls-cert 如果使用的是 tcp+tls 的地址,指定 TLS 证书的地址,如果没有使用,则不设置该选项。 --log-opt syslog-tls-cert=/etc/ca-certificates/custom/cert.pem
syslog-tls-key 如果使用的是 tcp+tls 的地址,指定 TLS 证书 key的地址,如果没有使用,则不设置该选项。** --log-opt syslog-tls-key=/etc/ca-certificates/custom/key.pem
syslog-tls-skip-verify 如果设置为 true ,会跳过 TLS 验证,默认为 false --log-opt syslog-tls-skip-verify=true
tag 将应用程序的名称附加到 syslog 消息中,默认情况下使用容器ID的前12位去 标记这个日志信息。 --log-opt tag=mailer
syslog-format syslog 使用的消息格式 如果未指定则使用本地 UNIX syslog 格式,rfc5424micro 格式具有微妙时间戳。 --log-opt syslog-format=rfc5424micro
labels 启动 docker 时,配置与日志相关的标签,以逗号分割 --log-opt labels=production_status,geo
env 启动 docker 时,指定环境变量用于日志中,以逗号分隔 --log-opt env=os,customer
env-regex 类似并兼容 env `--log-opt env-regex=^(os

3. 日志驱动:syslog

Linux 系统中 我们用的系统日志模块时 rsyslog ,它是基于syslog 的标准实现。我们要使用 syslog 驱动需要使用 系统自带的 rsyslog 服务。

# 查看当前 rsyslog 版本和基本信息
root@docker(192.168.1.101)/root> rsyslogd -v
rsyslogd 8.24.0-55.el7, compiled with:
	PLATFORM:				x86_64-redhat-linux-gnu
	PLATFORM (lsb_release -d):
	FEATURE_REGEXP:				Yes
	GSSAPI Kerberos 5 support:		Yes
	FEATURE_DEBUG (debug build, slow code):	No
	32bit Atomic operations supported:	Yes
	64bit Atomic operations supported:	Yes
	memory allocator:			system default
	Runtime Instrumentation (slow code):	No
	uuid support:				Yes
	Number of Bits in RainerScript integers: 64

See http://www.rsyslog.com for more information.

配置 syslog , 在配置文件 /etc/rsyslog.conf 大约14-20行,我们可以看到两个配置,一个udp,一个tcp ,都是监听 514 端口,提供 syslog 的接收。选择 tcp 就将 tcp 的两个配置的前面 # 号注释即可。

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

然后重启 rsyslog,我们可以看到514端口在监听。

root@docker(192.168.1.101)/root> systemctl restart rsyslog.service
root@docker(192.168.1.101)/root> netstat -ntplu | egrep 514
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      9939/rsyslogd
tcp6       0      0 :::514                  :::*                    LISTEN      9939/rsyslogd

启动一个以 syslog 为驱动的容器。

docker run --name alpine -itd --log-driver syslog --log-opt syslog-address=tcp://127.0.0.1:514 alpine ping 127.0.0.1

查看日志

root@docker(192.168.1.101)/root> tailf  /var/log/messages
Jun 29 14:49:13 localhost 9d08268f3ce0[3149]: 64 bytes from 127.0.0.1: seq=19 ttl=64 time=0.235 ms#015
Jun 29 14:49:14 localhost 9d08268f3ce0[3149]: 64 bytes from 127.0.0.1: seq=20 ttl=64 time=0.134 ms#015
Jun 29 14:49:15 localhost 9d08268f3ce0[3149]: 64 bytes from 127.0.0.1: seq=21 ttl=64 time=0.138 ms#015
Jun 29 14:49:16 localhost 9d08268f3ce0[3149]: 64 bytes from 127.0.0.1: seq=22 ttl=64 time=0.148 ms#015

3. 日志驱动:Journald

单个容器以 journald 日志驱动启动

docker run --name alpine -itd --log-driver journald --log-opt labels=location --log-opt env=TEST --env "TEST=false" --label localtion=china alpine ping 127.0.0.1

查看日志 journalctl

# 只查询指定容器的相关消息
 journalctl CONTAINER_NAME=webserver
# -b 指定从上次启动以来的所有消息
 journalctl -b CONTAINER_NAME=webserver
# -o 指定日志消息格式,-o json 表示以json 格式返回日志消息
 journalctl -o json CONTAINER_NAME=webserver
# -f 一直捕获日志输出
 journalctl -f CONTAINER_NAME=webserver

查看完整的日志:

root@docker(192.168.1.101)/root> journalctl CONTAINER_NAME=alpine -f --all
-- Logs begin at Wed 2022-06-29 13:48:18 CST. --
Jun 29 14:57:55 docker a09530de88ff[3149]: 64 bytes from 127.0.0.1: seq=5 ttl=64 time=0.267 ms
Jun 29 14:57:56 docker a09530de88ff[3149]: 64 bytes from 127.0.0.1: seq=6 ttl=64 time=0.227 ms
Jun 29 14:57:57 docker a09530de88ff[3149]: 64 bytes from 127.0.0.1: seq=7 ttl=64 time=0.124 ms
Jun 29 14:57:58 docker a09530de88ff[3149]: 64 bytes from 127.0.0.1: seq=8 ttl=64 time=0.123 ms
Jun 29 14:57:59 docker a09530de88ff[3149]: 64 bytes from 127.0.0.1: seq=9 ttl=64 time=0.132 ms

生产环境容器日志处理

容器的日志实际是有两大类的:

  • 标准输出的 ,也就是 STDOUT 、STDERR ,这类日志我们可以通过 Docker 官方的日志驱动进行收集。推荐使用。
  • 文本日志,存在在于容器内部,并没有重定向到 容器的标准输出的日志。

示例: Tomcat 日志,Tomcat 有 catalina、localhost、manager、admin、host-manager,我们可以在 Docker Hub 看到 Tomcat 的 dockerfile 只有对于 catalina 进行处理,其它日志将储存在容器里。

CMD ["catalina.sh", "run"]

运行了一个 Tomcat 容器 ,然后进行访问后,并登陆到容器内部,我们可以看到产生了文本日志:

/usr/local/tomcat/logs # ls -l
total 12
-rw-r-----    1 root     root          6787 Jun 29 09:00 catalina.2022-06-29.log
-rw-r-----    1 root     root             0 Jun 29 09:00 host-manager.2022-06-29.log
-rw-r-----    1 root     root           459 Jun 29 09:00 localhost.2022-06-29.log
-rw-r-----    1 root     root             0 Jun 29 09:00 localhost_access_log.2022-06-29.txt
-rw-r-----    1 root     root             0 Jun 29 09:00 manager.2022-06-29.log

标准输出类型的容器

对于 向 nginx 这种标准输出类型的容器,可采用的 日志驱动如下:

  • json-file
  • syslog
  • local

推荐采用 json-file 格式来进行日志格式化。

文件日志类型的容器

方案一:采用挂载目录

创建一个目录,将目录挂载到 容器中产生日志的目录。

--mount  type=bind,src=/opt/logs/,dst=/usr/local/tomcat/logs/ 

示例:

# 创建目录 /opt/logs
root@docker(192.168.1.101)/root> mkdir  /opt/logs
# 创建容器tomcat-bind 并将 /opt/logs 挂载至 /usr/local/tomcat/logs/
root@docker(192.168.1.101)/root> docker run --name tomcat -P --mount type=bind,src=/opt/logs,dst=/usr/local/tomcat/logs/ -d tomcat:alpine

# 查看本地挂载目录
root@docker(192.168.1.101)/root> ll /opt/logs/
total 12K
8.0K -rw-r----- 1 root root 6.7K Jun 29 17:26 catalina.2022-06-29.log
4.0K -rw-r----- 1 root root  459 Jun 29 17:26 localhost.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:26 localhost_access_log.2022-06-29.txt
   0 -rw-r----- 1 root root    0 Jun 29 17:26 host-manager.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:26 manager.2022-06-29.log

方案二:采用挂载目录

创建数据卷,创建容器时绑定数据卷

--mount  type=volume  src=volume_name  dst=/usr/local/tomcat/logs/ 

示例:

# 创建tomcat应用数据卷名称为 tomcat
> docker volume create tomcat
# 创建容器tomcat 并指定数据卷为 tomcat,绑定至 /usr/local/tomcat/logs/
> docker run --name tomcat -P --mount type=volume,src=tomcat,dst=/usr/local/tomcat/logs/ -d tomcat:alpine
# 查看数据卷里面的内容
> docker volume inspect -f '{{json .Mountpoint}}' tomcat | jq
"/var/lib/docker/volumes/tomcat/_data"

root@docker(192.168.1.101)/root> ll /var/lib/docker/volumes/tomcat/_data
total 12K
8.0K -rw-r----- 1 root root 6.7K Jun 29 17:36 catalina.2022-06-29.log
4.0K -rw-r----- 1 root root  459 Jun 29 17:36 localhost.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:36 localhost_access_log.2022-06-29.txt
   0 -rw-r----- 1 root root    0 Jun 29 17:36 host-manager.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:36 manager.2022-06-29.log

方案三:采用容器 rootfs挂载点

使用挂载宿主机目录的方式采集日志对应用会有一定的侵入性,因为它要求容器启动的时候包含挂载命令。如果采集过程能对用户透明那就太棒了。事实上,可以通过计算容器 rootfs 挂载点来达到这种目的。

和容器 rootfs 挂载点密不可分的一个概念是 storage driver。实际使用过程中,用户往往会根据 linux 版本、文件系统类型、容器读写情况等因素选择合适的 storage driver。不同 storage driver 下,容器的 rootfs 挂载点遵循一定规律,因此我们可以根据 storage driver 的类型推断出容器的 rootfs 挂载点,进而采集容器内部日志。下表展示了部分 storage dirver 的 rootfs 挂载点及其计算方法。

Storage driver rootfs 挂载点 计算方法
aufs /var/lib/docker/aufs/mnt/ id 可以从如下文件读到。 /var/lib/docker/image/aufs/layerdb/mounts/<container-id>/mount-id
overlay /var/lib/docker/overlay//merged 完整路径可以通过如下命令得到。 docker inspect -f '{{.GraphDriver.Data.MergedDir}}' <container-id>
overlay2 /var/lib/docker/overlay2//merged 完整路径可以通过如下命令得到。 docker inspect -f '{{.GraphDriver.Data.MergedDir}}' <container-id>
devicemapper /var/lib/docker/devicemapper/mnt//rootfs id 可以通过如下命令得到。 docker inspect -f '{{.GraphDriver.Data.DeviceName}}' <container-id>

示例:

# 创建容器 tomcat
> docker run --name tomcat -P  -d tomcat:alpine
# 查看tomcat 容器的 挂载点位置
> docker inspect tomcat -f '{{json .GraphDriver.Data.MergedDir}}' |jq
"/var/lib/docker/overlay2/bbba9a6c0ed681a6eca0b091f0ca4c5e0932809d3061f7217de792c36d677c8e/merged"
# 查看挂载点目录结构
> ll /var/lib/docker/overlay2/bbba9a6c0ed681a6eca0b091f0ca4c5e0932809d3061f7217de792c36d677c8e/merged
total 8.0K
   0 drwxr-xr-x 1 root root   43 Jun 29 17:38 dev/
   0 drwxr-xr-x 1 root root   66 Jun 29 17:38 etc/
   0 drwxrwxrwt 1 root root   29 May 16  2019 tmp/
4.0K drwxr-xr-x 1 root root 4.0K May 16  2019 bin/
   0 drwxr-xr-x 1 root root   61 May 16  2019 lib/
   0 drwxr-xr-x 1 root root   19 May 16  2019 usr/
4.0K drwxr-xr-x 2 root root 4.0K May 10  2019 sbin/
   0 drwxr-xr-x 2 root root    6 May 10  2019 home/
   0 drwxr-xr-x 5 root root   44 May 10  2019 media/
   0 drwxr-xr-x 2 root root    6 May 10  2019 mnt/
   0 drwxr-xr-x 2 root root    6 May 10  2019 opt/
   0 dr-xr-xr-x 2 root root    6 May 10  2019 proc/
   0 drwx------ 2 root root    6 May 10  2019 root/
   0 drwxr-xr-x 2 root root    6 May 10  2019 run/
   0 drwxr-xr-x 2 root root    6 May 10  2019 srv/
   0 drwxr-xr-x 2 root root    6 May 10  2019 sys/
   0 drwxr-xr-x 1 root root   30 May 10  2019 var/

# 查看日志
> ll /var/lib/docker/overlay2/bbba9a6c0ed681a6eca0b091f0ca4c5e0932809d3061f7217de792c36d677c8e/merged/usr/local/tomcat/logs/
total 12K
8.0K -rw-r----- 1 root root 6.7K Jun 29 17:38 catalina.2022-06-29.log
4.0K -rw-r----- 1 root root  459 Jun 29 17:38 localhost.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:38 localhost_access_log.2022-06-29.txt
   0 -rw-r----- 1 root root    0 Jun 29 17:38 host-manager.2022-06-29.log
   0 -rw-r----- 1 root root    0 Jun 29 17:38 manager.2022-06-29.log

方案四:在代码层将日志写入消息队列

通过代码层,直接将日志写入 redis 或者 kafka,最后存入 elasticsearch

以上就是对 Docker 日志的所有的概念解释和方提供,具体采用什么方案,根据公司的具体的业务来选择。合适的才是最好的。

容器日志测试

通过上面的学习,对容器日志也有全面的了解,在使用依然会碰到一些问题,记录下来。

问题一:时间久了,容器的日志会不会将磁盘空间写满?

测试方案:创建一个nginx 容器,然后使用 ab 进行压测,并观察日志文件状况。

(1)daemon.json 采用 docker-ce 默认配置进行测试:

#创建nginx容器
> docker run --name nginx -p 80:80 -d nginx:alpine

#宿主机使用 ab 进行压测(1小时)
> ab -n 1000 -c 1000 http://localhost/

#查看容器日志文件大小
> ll -tsh  *.log
416M -rw-r----- 1 root root 212M Jun 29 19:02 2ee7d6054d77c119a7fbe43d439e1811d94ef68d828fb431fbe03b6ab89c1294-json.log

进行了一小时的压测,容器日志依然是单文件且大小为:212MB大小,就此可以断定。

在 docker-ce 默认的状态下,容器日志有且只会生成一个日志文件,且无限增长。

解决方案:定义默认日志文件大小和最大文件数

# 在 /etc/docker/daemon.json 中添加 log 配置项
> vim daemon.json

{
    "log-driver": "json-file",
    "log-opts":{
    	"max-size": "5m",	# 为了演示效果,将单日志文件设置的较小
    	"max-file": "3"
    }

}

# 重启 docker
> systemctl restart docker

注意:设置的日志大小,只对新建的容器有效。

新建容器进行测试

# 新建容器
> docker run --name nginx -p 80:80 -d nginx:alpine

#宿主机使用 ab 进行压测
> ab -n 1000 -c 1000 http://localhost/

#查看容器日志文件大小
> ll -tsh *.log
8.0M -rw-r----- 1 root root 4.7M Jun 29 19:09 74c69bc9071878a321db54c477395489bc5f4c031b5901984ed1f521192c18d7-json.log
> ll -tsh *.log
16K -rw-r----- 1 root root 16K Jun 29 19:09 74c69bc9071878a321db54c477395489bc5f4c031b5901984ed1f521192c18d7-json.log
> ll -tsh *.log*
 44K -rw-r----- 1 root root  43K Jun 29 19:12 74c69bc9071878a321db54c477395489bc5f4c031b5901984ed1f521192c18d7-json.log
4.8M -rw-r----- 1 root root 4.8M Jun 29 19:12 74c69bc9071878a321db54c477395489bc5f4c031b5901984ed1f521192c18d7-json.log.1
4.8M -rw-r----- 1 root root 4.8M Jun 29 19:11 74c69bc9071878a321db54c477395489bc5f4c031b5901984ed1f521192c18d7-json.log.2

从日志文件可以看到,上1秒 4.7MB 到达预定 5MB 阈值时,会修改源文件为 container_id-json.log.1

image-20220629193037766

由此看来,在 /etc/docker/daemon.json 中设置日志项是非常有必要的。

posted @ 2022-07-01 15:26  hukey  阅读(2369)  评论(0编辑  收藏  举报