FlowCollector API 参考

agent

对象

流量提取的代理配置。

consolePlugin

对象

consolePlugin 定义了与 OpenShift Container Platform Console 插件相关的设置（如果可用）。

deploymentModel

字符串

deploymentModel 定义了流量处理的期望部署类型。可能的值为：

- Direct（默认）使流量处理器直接监听来自代理的流量。

- Kafka 使流量在被处理器消费之前发送到 Kafka 管道。

Kafka 可以提供更好的可扩展性、弹性和高可用性（更多详情，请参见 https://www.redhat.com/en/topics/integration/what-is-apache-kafka）。

exporters

数组

exporters 定义了用于自定义使用或存储的附加可选导出器。

kafka

对象

Kafka 配置，允许将 Kafka 用作流量收集管道的一部分的代理。当 spec.deploymentModel 为 Kafka 时可用。

loki

对象

loki，流量存储，客户端设置。

namespace

字符串

部署网络可观测性 Pod 的命名空间。

networkPolicy

对象

networkPolicy 定义网络可观测性组件隔离的入口网络策略设置。

processor

对象

processor 定义接收来自代理的流量、对其进行丰富、生成指标并将其转发到 Loki 持久层和/或任何可用导出器的组件的设置。

prometheus

对象

prometheus 定义 Prometheus 设置，例如用于从控制台插件获取指标的查询器配置。

ebpf

对象

当 spec.agent.type 设置为 eBPF 时，ebpf 描述了与基于 eBPF 的流量报告程序相关的设置。

type

字符串

type [已弃用 (*)] 选择流量跟踪代理。以前，此字段允许在 eBPF 或 IPFIX 之间进行选择。现在只允许 eBPF，因此此字段已弃用，并计划在 API 的未来版本中删除。

advanced

对象

advanced 允许设置 eBPF 代理内部配置的某些方面。此部分主要用于调试和细粒度的性能优化，例如 GOGC 和 GOMAXPROCS 环境变量。自行承担使用这些值的风险。

cacheActiveTimeout

字符串

cacheActiveTimeout 指的是报告器在发送聚合流量之前的最大等待时间。增加cacheMaxFlows 和 cacheActiveTimeout 可以减少网络流量开销和 CPU 负载，但是会增加内存消耗和流量收集延迟。

cacheMaxFlows

整数

cacheMaxFlows 指的是聚合中最大流量数；达到此数量后，报告器会发送这些流量。增加cacheMaxFlows 和 cacheActiveTimeout 可以减少网络流量开销和 CPU 负载，但是会增加内存消耗和流量收集延迟。

excludeInterfaces

数组 (字符串)

excludeInterfaces 包含从流量跟踪中排除的接口名称。用斜杠括起来的条目，例如/br-/，将作为正则表达式匹配。否则，它将作为区分大小写的字符串匹配。

features

数组 (字符串)

要启用的附加功能列表。默认情况下，所有功能都处于禁用状态。启用附加功能可能会影响性能。可能的值为：

- PacketDrop：启用数据包丢弃流量日志记录功能。此功能需要挂载内核调试文件系统，因此 eBPF 代理 Pod 必须以特权模式运行。如果未设置spec.agent.ebpf.privileged参数，则会报告错误。

- DNSTracking：启用 DNS 追踪功能。

- FlowRTT：在 eBPF 代理中启用从 TCP 流量中提取流量延迟 (sRTT) 的功能。

- NetworkEvents：启用网络事件监控功能，例如关联流量和网络策略。此功能需要挂载内核调试文件系统，因此 eBPF 代理 Pod 必须以特权模式运行。它需要使用具有可观察性功能的 OVN-Kubernetes 网络插件。重要提示：此功能作为开发者预览版提供。

flowFilter

对象

flowFilter 定义了关于流量过滤的 eBPF 代理配置。

imagePullPolicy

字符串

imagePullPolicy 是上面定义的镜像的 Kubernetes 拉取策略。

interfaces

数组 (字符串)

interfaces 包含收集流量的接口名称。如果为空，则代理会获取系统中的所有接口，但excludeInterfaces中列出的接口除外。用斜杠括起来的条目，例如/br-/，将作为正则表达式匹配。否则，它将作为区分大小写的字符串匹配。

kafkaBatchSize

整数

kafkaBatchSize 限制发送到分区的请求的最大大小（以字节为单位）。在不使用 Kafka 时忽略。默认值：1MB。

logLevel

字符串

logLevel 定义网络可观察性 eBPF 代理的日志级别。

metrics

对象

metrics 定义了关于指标的 eBPF 代理配置。

privileged

布尔值

eBPF 代理容器的特权模式。忽略或设置为false时，操作员会将细粒度的功能（BPF、PERFMON、NET_ADMIN、SYS_RESOURCE）设置为容器。如果由于某种原因无法设置这些功能（例如，如果使用了不知道 CAP_BPF 的旧内核版本），则可以启用此模式以获得更全局的特权。某些代理功能需要特权模式，例如数据包丢弃跟踪 (请参见features) 和 SR-IOV 支持。

resources

对象

resources 是此容器所需的计算资源。更多信息，请参见 https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

sampling

整数

流量报告器的采样率。100 表示每 100 个流量发送一个。0 或 1 表示对所有流量进行采样。

env

对象 (字符串)

env 允许将自定义环境变量传递给底层组件。这对于传递一些非常具体的性能调整选项很有用，例如GOGC和GOMAXPROCS，这些选项不应作为 FlowCollector 描述符的一部分公开，因为它们仅在边缘调试或支持场景中才有用。

scheduling

对象

scheduling 控制 pod 如何在节点上调度。

affinity

对象

如果指定，则为 pod 的调度约束。有关文档，请参阅 https://kubernetes.ac.cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling。

nodeSelector

对象 (字符串)

nodeSelector 允许仅将 pod 调度到具有每个指定标签的节点上。有关文档，请参阅 https://kubernetes.ac.cn/docs/concepts/configuration/assign-pod-node/。

priorityClassName

字符串

如果指定，则表示 pod 的优先级。有关文档，请参阅 https://kubernetes.ac.cn/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption。如果未指定，则使用默认优先级，如果没有默认优先级则为零。

tolerations

数组

tolerations 是容忍度列表，允许 pod 调度到具有匹配污点的节点上。有关文档，请参阅 https://kubernetes.ac.cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling。

action

字符串

action 定义对匹配过滤器的流量执行的操作。可用选项为Accept（默认为接受）和Reject（拒绝）。

cidr

字符串

cidr 定义用于按 IP CIDR 过滤流量。示例：10.10.10.0/24 或 100:100:100:100::/64

destPorts

整数或字符串

destPorts 可选地定义用于按目标端口过滤流量。要过滤单个端口，请设置单个端口作为整数值。例如，destPorts: 80。要过滤端口范围，请使用字符串格式的“起始-结束”范围。例如，destPorts: "80-100"。要过滤两个端口，请使用字符串格式的“port1,port2”。例如，ports: "80,100"。

direction

字符串

direction 可选地定义用于按方向过滤流量。可用选项为Ingress（入站）和Egress（出站）。

enable

布尔值

将enable设置为true以启用 eBPF 流量过滤功能。

icmpCode

整数

对于互联网控制报文协议 (ICMP) 流量，icmpCode 可选地定义用于按 ICMP 代码过滤流量。

icmpType

整数

对于 ICMP 流量，icmpType 可选地定义用于按 ICMP 类型过滤流量。

peerIP

字符串

peerIP 可选地定义用于按远程 IP 地址过滤流量。示例：10.10.10.10。

pktDrops

布尔值

pktDrops 可选地仅过滤包含数据包丢弃的流量。

ports

整数或字符串

ports 可选地定义用于按端口过滤流量。它同时用于源端口和目标端口。要过滤单个端口，请设置单个端口作为整数值。例如，ports: 80。要过滤端口范围，请使用字符串格式的“起始-结束”范围。例如，ports: "80-100"。要过滤两个端口，请使用字符串格式的“port1,port2”。例如，ports: "80,100"。

protocol

字符串

protocol 可选参数，用于按协议过滤流。可用选项包括 TCP、UDP、ICMP、ICMPv6 和 SCTP。

sourcePorts

整数或字符串

sourcePorts 可选参数，用于按源端口过滤流。要过滤单个端口，请设置单个端口的整数值，例如 sourcePorts: 80。要过滤端口范围，请使用字符串格式的“起始-结束”范围，例如 sourcePorts: "80-100"。要过滤两个端口，请使用字符串格式的“port1,port2”，例如 ports: "80,100"。

tcpFlags

字符串

tcpFlags 可选参数，用于按 TCP 标志过滤流。除了标准标志 (RFC-9293) 外，还可以按以下三种组合之一进行过滤：SYN-ACK、FIN-ACK 和 RST-ACK。

disableAlerts

数组 (字符串)

disableAlerts 是一个应禁用的警报列表。可能的取值包括：

NetObservDroppedFlows，当 eBPF 代理丢失数据包或流时触发，例如 BPF 哈希映射繁忙或已满，或容量限制器被触发时。

enable

布尔值

将 enable 设置为 false 可禁用 eBPF 代理指标收集。默认情况下启用。

server

对象

Prometheus scraper 的指标服务器端点配置。

port

整数

指标服务器 HTTP 端口。

tls

对象

TLS 配置。

insecureSkipVerify

布尔值

insecureSkipVerify 允许跳过客户端对提供的证书的验证。如果设置为 true，则忽略 providedCaFile 字段。

provided

对象

当 type 设置为 Provided 时的 TLS 配置。

providedCaFile

对象

当 type 设置为 Provided 时，CA 文件的引用。

type

字符串

选择 TLS 配置的类型

- Disabled（默认）表示不为端点配置 TLS。- Provided 表示手动提供证书文件和密钥文件。（不支持 (*)）- Auto 表示使用 OpenShift Container Platform 使用注释自动生成的证书。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

file

字符串

config map 或 secret 中的文件名。

name

字符串

包含文件的 config map 或 secret 的名称。

namespace

字符串

包含文件的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

文件的引用类型：configmap 或 secret。

limits

整数或字符串

Limits 描述了允许的最大计算资源量。更多信息：https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

requests

整数或字符串

Requests 描述了所需的最小计算资源量。如果容器省略了 Requests，则默认为 Limits（如果明确指定），否则为实现定义的值。Requests 不能超过 Limits。更多信息：https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

advanced

对象

advanced 允许设置控制台插件内部配置的某些方面。此部分主要针对调试和细粒度的性能优化，例如 GOGC 和 GOMAXPROCS 环境变量。自行承担设置这些值的风险。

autoscaler

对象

插件部署要设置的水平 Pod 自动缩放器的 autoscaler 规范。请参考 HorizontalPodAutoscaler 文档 (autoscaling/v2)。

enable

布尔值

启用控制台插件部署。

imagePullPolicy

字符串

imagePullPolicy 是上面定义的镜像的 Kubernetes 拉取策略。

logLevel

字符串

控制台插件后端的 logLevel

portNaming

对象

portNaming 定义端口到服务名称转换的配置

quickFilters

数组

quickFilters 为控制台插件配置快速过滤器预设

replicas

整数

replicas 定义要启动的副本（Pod）数量。

resources

对象

此容器所需的计算资源 resources。更多信息，请参见 https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

args

数组 (字符串)

args 允许向底层组件传递自定义参数。这对于覆盖某些参数很有用，例如 URL 或配置路径，这些参数不应作为 FlowCollector 描述符的一部分公开，因为它们仅在边缘调试或支持场景中有用。

env

对象 (字符串)

env 允许将自定义环境变量传递给底层组件。这对于传递一些非常具体的性能调整选项很有用，例如GOGC和GOMAXPROCS，这些选项不应作为 FlowCollector 描述符的一部分公开，因为它们仅在边缘调试或支持场景中才有用。

port

整数

port 是插件服务端口。请勿使用 9002，该端口保留用于指标。

register

布尔值

当设置为 true 时，register 允许自动将提供的控制台插件注册到 OpenShift Container Platform 控制台操作员。如果设置为 false，您仍然可以通过编辑 console.operator.openshift.io/cluster 并使用以下命令手动注册它：oc patch console.operator.openshift.io cluster --type='json' -p '[{"op": "add", "path": "/spec/plugins/-", "value": "netobserv-plugin"}]'

scheduling

对象

scheduling 控制 Pod 如何在节点上调度。

affinity

对象

如果指定，则为 pod 的调度约束。有关文档，请参阅 https://kubernetes.ac.cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling。

nodeSelector

对象 (字符串)

nodeSelector 允许仅将 pod 调度到具有每个指定标签的节点上。有关文档，请参阅 https://kubernetes.ac.cn/docs/concepts/configuration/assign-pod-node/。

priorityClassName

字符串

如果指定，则表示 pod 的优先级。有关文档，请参阅 https://kubernetes.ac.cn/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption。如果未指定，则使用默认优先级，如果没有默认优先级则为零。

tolerations

数组

tolerations 是容忍度列表，允许 pod 调度到具有匹配污点的节点上。有关文档，请参阅 https://kubernetes.ac.cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling。

enable

布尔值

启用控制台插件端口到服务名称转换

portNames

对象 (字符串)

portNames 定义在控制台中使用的其他端口名称，例如，portNames: {"3100": "loki"}。

默认

布尔值

default 定义此过滤器是否默认启用。

过滤器

对象 (字符串)

filter 是一组键值对，在选择此过滤器时会被设置。每个键都可以通过逗号分隔的字符串关联多个值，例如，filter: {"src_namespace": "namespace1,namespace2"}。

name

字符串

在控制台中显示的过滤器名称。

limits

整数或字符串

Limits 描述了允许的最大计算资源量。更多信息：https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

requests

整数或字符串

Requests 描述了所需的最小计算资源量。如果容器省略了 Requests，则默认为 Limits（如果明确指定），否则为实现定义的值。Requests 不能超过 Limits。更多信息：https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/

ipfix

对象

IPFIX 配置，例如发送增强的 IPFIX 流量的 IP 地址和端口。

kafka

对象

Kafka 配置，例如发送增强流量的地址和主题。

openTelemetry

对象

OpenTelemetry 配置，例如发送增强日志或指标的 IP 地址和端口。

type

字符串

type 选择导出器的类型。可用的选项包括 Kafka、IPFIX 和 OpenTelemetry。

目标主机

字符串

IPFIX 外部接收器的地址。

目标端口

整数

IPFIX 外部接收器的端口。

传输协议

字符串

IPFIX 连接使用的传输协议 (TCP 或 UDP)，默认为 TCP。

地址

字符串

Kafka 服务器的地址

sasl

对象

SASL 身份验证配置。[不支持 (*) ]。

tls

对象

TLS 客户端配置。使用 TLS 时，请验证地址与 Kafka 用于 TLS 的端口匹配，通常为 9093。

主题

字符串

要使用的 Kafka 主题。主题必须已存在，网络可观测性不会创建它。

clientIDReference

对象

包含客户端 ID 的密钥或配置映射的引用。

clientSecretReference

对象

包含客户端密钥的密钥或配置映射的引用。

type

字符串

要使用的 SASL 身份验证类型，如果未使用 SASL，则为 Disabled。

file

字符串

config map 或 secret 中的文件名。

name

字符串

包含文件的 config map 或 secret 的名称。

namespace

字符串

包含文件的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

文件的引用类型：configmap 或 secret。

file

字符串

config map 或 secret 中的文件名。

name

字符串

包含文件的 config map 或 secret 的名称。

namespace

字符串

包含文件的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

文件的引用类型：configmap 或 secret。

caCert

对象

caCert 定义证书颁发机构证书的引用。

enable

布尔值

启用 TLS

insecureSkipVerify

布尔值

insecureSkipVerify 允许跳过服务器证书的客户端验证。如果设置为 true，则忽略 caCert 字段。

userCert

对象

userCert 定义用户证书引用，用于 mTLS。当您使用单向 TLS 时，可以忽略此属性。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

fieldsMapping

数组

自定义字段映射到符合 OpenTelemetry 格式。默认情况下，使用网络可观测性格式建议：https://github.com/rhobs/observability-data-model/blob/main/network-observability.md#format-proposal。由于目前没有被接受的 L3 或 L4 增强网络日志标准，您可以随意使用自己的标准覆盖它。

headers

对象 (字符串)

要添加到消息的标头（可选）

logs

对象

OpenTelemetry 日志配置。

metrics

对象

OpenTelemetry 指标配置。

protocol

字符串

OpenTelemetry 连接协议。可用的选项包括 http 和 grpc。

目标主机

字符串

OpenTelemetry 接收器的地址。

目标端口

整数

OpenTelemetry 接收器的端口。

tls

对象

TLS 客户端配置。

输入

字符串

乘数

整数

输出

字符串

enable

布尔值

将 enable 设置为 true 以将日志发送到 OpenTelemetry 接收器。

enable

布尔值

将 enable 设置为 true 以将指标发送到 OpenTelemetry 接收器。

pushTimeInterval

字符串

指定向收集器发送指标的频率。

caCert

对象

caCert 定义证书颁发机构证书的引用。

enable

布尔值

启用 TLS

insecureSkipVerify

布尔值

insecureSkipVerify 允许跳过服务器证书的客户端验证。如果设置为 true，则忽略 caCert 字段。

userCert

对象

userCert 定义用户证书引用，用于 mTLS。当您使用单向 TLS 时，可以忽略此属性。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

地址

字符串

Kafka 服务器的地址

sasl

对象

SASL 身份验证配置。[不支持 (*) ]。

tls

对象

TLS 客户端配置。使用 TLS 时，请验证地址与 Kafka 用于 TLS 的端口匹配，通常为 9093。

主题

字符串

要使用的 Kafka 主题。主题必须已存在，网络可观测性不会创建它。

clientIDReference

对象

包含客户端 ID 的密钥或配置映射的引用。

clientSecretReference

对象

包含客户端密钥的密钥或配置映射的引用。

type

字符串

要使用的 SASL 身份验证类型，如果未使用 SASL，则为 Disabled。

file

字符串

config map 或 secret 中的文件名。

name

字符串

包含文件的 config map 或 secret 的名称。

namespace

字符串

包含文件的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

文件的引用类型：configmap 或 secret。

file

字符串

config map 或 secret 中的文件名。

name

字符串

包含文件的 config map 或 secret 的名称。

namespace

字符串

包含文件的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

文件的引用类型：configmap 或 secret。

caCert

对象

caCert 定义证书颁发机构证书的引用。

enable

布尔值

启用 TLS

insecureSkipVerify

布尔值

insecureSkipVerify 允许跳过服务器证书的客户端验证。如果设置为 true，则忽略 caCert 字段。

userCert

对象

userCert 定义用户证书引用，用于 mTLS。当您使用单向 TLS 时，可以忽略此属性。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

certFile

字符串

certFile 定义证书文件名在 config map 或 secret 中的路径。

certKey

字符串

certKey 定义证书私钥文件名在 config map 或 secret 中的路径。如果密钥不需要，则可以省略。

name

字符串

包含证书的 config map 或 secret 的名称。

namespace

字符串

包含证书的 config map 或 secret 的命名空间。如果省略，则默认为使用与部署网络可观测性相同的命名空间。如果命名空间不同，则会复制 config map 或 secret，以便可以按需挂载。

type

字符串

证书引用的类型：configmap 或 secret。

advanced