-
例如,每个 Pod。
-
例如,每个工作负载或命名空间。
-
只有使用 Loki 时才能获得数据包丢失统计信息。
- 文档
- OpenShift Container Platform
- 可观测性
- 网络可观测性
- 安装网络可观测性 Operator history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久之后将只在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在受限网络中使用用户提供的基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power Virtual Server 上安装
- 准备在 IBM Power Virtual Server 上安装
- 配置 IBM Cloud 帐户
- 创建 IBM Power Virtual Server 工作区
- 在 IBM Power Virtual Server 上安装具有自定义配置的集群
- 将集群安装到 IBM Power Virtual Server 上已存在的 VPC 中
- 在 IBM Power Virtual Server 上安装私有集群
- 在 IBM Power Virtual Server 受限网络中安装集群
- 卸载 IBM Power Virtual Server 上的集群
- IBM Power Virtual Server 的安装配置参数
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备在 OpenStack 上安装使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义配置的集群
- 在您自己的基础架构上的 OpenStack 上安装集群
- 在 OpenStack 受限网络中安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础架构卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置出站代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作符的日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调优插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非优雅节点关闭后分离CSI卷
- AWS Elastic Block Store CSI驱动程序操作符
- AWS Elastic File Service CSI驱动程序操作符
- Azure Disk CSI驱动程序操作符
- Azure File CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM Cloud块存储(VPC) CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态供应
- 注册表
- 操作符
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护进程集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 预缓存单节点 OpenShift 部署的镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- 自我主题规则审核 [authorization.openshift.io/v1]
- 主题访问审核 [authorization.openshift.io/v1]
- 主题规则审核 [authorization.openshift.io/v1]
- 自我主题审核 [authentication.k8s.io/v1]
- 令牌请求 [authentication.k8s.io/v1]
- 令牌审核 [authentication.k8s.io/v1]
- 本地主题访问审核 [authorization.k8s.io/v1]
- 自我主题访问审核 [authorization.k8s.io/v1]
- 自我主题规则审核 [authorization.k8s.io/v1]
- 主题访问审核 [authorization.k8s.io/v1]
- 自动伸缩API
- 集群API
- 配置API
- 关于配置API
- API服务器 [config.openshift.io/v1]
- 身份验证 [config.openshift.io/v1]
- 构建 [config.openshift.io/v1]
- 集群操作符 [config.openshift.io/v1]
- 集群版本 [config.openshift.io/v1]
- 控制台 [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- 特性开关 [config.openshift.io/v1]
- Helm图表仓库 [helm.openshift.io/v1beta1]
- 镜像 [config.openshift.io/v1]
- 镜像摘要镜像集 [config.openshift.io/v1]
- 镜像内容策略 [config.openshift.io/v1]
- 镜像标签镜像集 [config.openshift.io/v1]
- 基础设施 [config.openshift.io/v1]
- 入口 [config.openshift.io/v1]
- 网络 [config.openshift.io/v1]
- 节点 [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- 项目 [config.openshift.io/v1]
- 项目Helm图表仓库 [helm.openshift.io/v1beta1]
- 代理 [config.openshift.io/v1]
- 调度器 [config.openshift.io/v1]
- 控制台API
- 扩展API
- 镜像API
- 机器API
- 关于机器API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager配置 [monitoring.coreos.com/v1beta1]
- 告警重标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod监控 [monitoring.coreos.com/v1]
- 探测 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod指标 [metrics.k8s.io/v1beta1]
- 网络API
- 关于网络API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有IP配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站IP [k8s.ovn.org/v1]
- 出站QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- 入口 [networking.k8s.io/v1]
- 入口类 [networking.k8s.io/v1]
- IP池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附加定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围IP预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点API
- OAuth API
- Operator API
- 关于Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- 入口控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator条件 [operators.coreos.com/v2]
- Operator组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目 API
- 供应 API
- 关于供应 API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 安全 API
- 关于安全 API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审查 [security.openshift.io/v1]
- Pod 安全策略自身主体审查 [security.openshift.io/v1]
- Pod 安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 发行说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
安装网络可观测性 Operator
安装 Loki 是使用网络可观测性运算符的推荐前提条件。您可以选择使用无需 Loki 的网络可观测性,但这样做有一些注意事项,如前面链接的部分所述。
Loki 运算符集成了一个网关,该网关使用 Loki 实现多租户和身份验证,用于数据流存储。LokiStack 资源管理 Loki(一个可扩展、高可用、多租户日志聚合系统)和一个具有 OpenShift Container Platform 身份验证的 Web 代理。LokiStack 代理使用 OpenShift Container Platform 身份验证来强制执行多租户并促进在 Loki 日志存储中保存和索引数据。
|
Loki 运算符也可用于配置 LokiStack 日志存储。网络可观测性运算符需要一个与日志记录分离的专用 LokiStack。 |
无需 Loki 的网络可观测性
您可以通过不执行 Loki 安装步骤并直接跳到“安装网络可观测性运算符”来使用无需 Loki 的网络可观测性。如果您只想将流导出到 Kafka 消费者或 IPFIX 收集器,或者您只需要仪表板指标,则无需安装 Loki 或为 Loki 提供存储。下表比较了有 Loki 和无 Loki 的可用功能。
| 有 Loki | 无 Loki | |
|---|---|---|
导出器 |
|
|
多租户 |
|
|
完整的过滤和聚合功能 [1] |
|
|
部分过滤和聚合功能 [2] |
|
|
基于流的指标和仪表板 |
|
|
流量流视图概述 [3] |
|
|
流量流视图表 |
|
|
拓扑视图 |
|
|
OpenShift Container Platform 控制台网络流量选项卡集成 |
|
|
其他资源
安装 Loki 运算符
Loki 运算符版本 5.7+ 是网络可观测性支持的 Loki 运算符版本;这些版本提供了使用openshift-network租户配置模式创建LokiStack实例的能力,并为网络可观测性提供完全自动的集群内身份验证和授权支持。您可以通过多种方式安装 Loki。一种方法是使用 OpenShift Container Platform Web 控制台 Operator Hub。
先决条件
-
支持的日志存储(AWS S3、Google Cloud Storage、Azure、Swift、Minio、OpenShift Data Foundation)
-
OpenShift Container Platform 4.10+
-
Linux 内核 4.18+
步骤
-
在 OpenShift Container Platform Web 控制台中,单击运算符→OperatorHub。
-
从可用运算符列表中选择Loki 运算符,然后单击安装。
-
在安装模式下,选择集群上的所有命名空间。
验证
-
验证您是否已安装 Loki 运算符。访问运算符→已安装的运算符页面,查找Loki 运算符。
-
验证在所有项目中Loki 运算符是否列出,且状态为成功。
|
要卸载 Loki,请参考与您用于安装 Loki 的方法相对应的卸载过程。您可能还有一些剩余的 |
为 Loki 存储创建密钥
Loki Operator 支持多种日志存储选项,例如 AWS S3、Google Cloud Storage、Azure、Swift、Minio 和 OpenShift Data Foundation。以下示例演示如何为 AWS S3 存储创建密钥。本例中创建的密钥 loki-s3 在“创建 LokiStack 资源”中有所引用。您可以在 Web 控制台或 CLI 中创建此密钥。
-
使用 Web 控制台,导航到**项目** → **所有项目**下拉菜单,然后选择**创建项目**。将项目命名为
netobserv并单击**创建**。 -
导航到右上角的导入图标 +。将您的 YAML 文件粘贴到编辑器中。
以下是 S3 存储的示例密钥 YAML 文件
apiVersion: v1 kind: Secret metadata: name: loki-s3 namespace: netobserv (1) stringData: access_key_id: QUtJQUlPU0ZPRE5ON0VYQU1QTEUK access_key_secret: d0phbHJYVXRuRkVNSS9LN01ERU5HL2JQeFJmaUNZRVhBTVBMRUtFWQo= bucketnames: s3-bucket-name endpoint: https://s3.eu-central-1.amazonaws.com region: eu-central-11 本文档中的安装示例在所有组件中使用相同的命名空间 netobserv。您可以选择为不同的组件使用不同的命名空间。
验证
-
创建密钥后,您应该可以在 Web 控制台的**工作负载** → **密钥**下看到它。
创建 LokiStack 自定义资源
您可以使用 Web 控制台或 OpenShift CLI (oc) 创建命名空间或新项目来部署 LokiStack 自定义资源 (CR)。
步骤
-
导航到**操作符** → **已安装的操作符**,从**项目**下拉菜单查看**所有项目**。
-
查找**Loki Operator**。在详细信息下的**提供的 API**中,选择**LokiStack**。
-
单击**创建 LokiStack**。
-
确保在**表单视图**或**YAML 视图**中指定以下字段
apiVersion: loki.grafana.com/v1 kind: LokiStack metadata: name: loki namespace: netobserv (1) spec: size: 1x.small (2) storage: schemas: - version: v12 effectiveDate: '2022-06-01' secret: name: loki-s3 type: s3 storageClassName: gp3 (3) tenants: mode: openshift-network1 本文档中的安装示例在所有组件中使用相同的命名空间 netobserv。您可以选择使用不同的命名空间。2 指定部署规模。在 Loki Operator 5.8 及更高版本中,Loki 生产实例支持的规模选项为 1x.extra-small、1x.small或1x.medium。无法更改部署规模中的数字
1x。3 使用集群中可用的存储类名称,访问模式为 ReadWriteOnce。您可以使用oc get storageclasses查看集群中可用的存储类。您不能重复使用用于日志记录的相同
LokiStackCR。 -
单击**创建**。
为集群管理员用户角色创建新组
|
作为 |
使用以下步骤为具有 cluster-admin 权限的用户创建新组。
步骤
-
输入以下命令以创建新组
$ oc adm groups new cluster-admin -
输入以下命令将所需用户添加到
cluster-admin组$ oc adm groups add-users cluster-admin <username> -
输入以下命令将
cluster-admin用户角色添加到组$ oc adm policy add-cluster-role-to-group cluster-admin cluster-admin
自定义管理员组访问
如果您需要查看集群范围的日志而无需成为管理员,或者您已经定义了要在此处使用的任何组,则可以使用 adminGroup 字段指定自定义组。LokiStack 自定义资源 (CR) 的 adminGroups 字段中指定的任何组的成员都具有与管理员相同的日志读取权限。
管理员用户可以访问集群中的所有网络日志。
LokiStack CR 示例
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
name: loki
namespace: netobserv
spec:
tenants:
mode: openshift-network (1)
openshift:
adminGroups: (2)
- cluster-admin
- custom-admin-group (3)| 1 | 自定义管理员组仅在此模式下可用。 |
| 2 | 为此字段输入空列表 [] 值将禁用管理员组。 |
| 3 | 覆盖默认组 (system:cluster-admins、cluster-admin、dedicated-admin) |
Loki 部署规模
Loki 的规模遵循 1x.<size> 的格式,其中 1x 是实例数,<size> 指定性能能力。
|
无法更改部署规模中的数字 |
| 1x.demo | 1x.extra-small | 1x.small | 1x.medium | |
|---|---|---|---|---|
数据传输 |
仅限演示使用 |
100GB/天 |
500GB/天 |
2TB/天 |
每秒查询数 (QPS) |
仅限演示使用 |
1-25 QPS,200ms |
25-50 QPS,200ms |
25-75 QPS,200ms |
复制因子 |
无 |
2 |
2 |
2 |
总 CPU 请求 |
无 |
14 个 vCPU |
34 个 vCPU |
54 个 vCPU |
总内存请求 |
无 |
31Gi |
67Gi |
139Gi |
总磁盘请求 |
40Gi |
430Gi |
430Gi |
590Gi |
LokiStack 摄取限制和健康警报
LokiStack 实例具有根据配置规模设置的默认设置。可以覆盖其中一些设置,例如摄取和查询限制。如果您在控制台插件或 flowlogs-pipeline 日志中看到 Loki 错误,则可能需要更新这些设置。Web 控制台中的自动警报会在达到这些限制时通知您。
以下是配置限制的示例
spec:
limits:
global:
ingestion:
ingestionBurstSize: 40
ingestionRate: 20
maxGlobalStreamsPerTenant: 25000
queries:
maxChunksPerQuery: 2000000
maxEntriesLimitPerQuery: 10000
maxQuerySeries: 3000有关这些设置的更多信息,请参阅 LokiStack API 参考。
安装网络可观测性操作符
您可以使用 OpenShift Container Platform Web 控制台 Operator Hub 安装网络可观测性操作符。安装操作符后,它将提供 FlowCollector 自定义资源定义 (CRD)。创建 FlowCollector 时,您可以在 Web 控制台中设置规范。
|
操作符的实际内存消耗取决于您的集群规模和已部署资源的数量。可能需要相应地调整内存消耗。有关更多信息,请参阅“重要 Flow Collector 配置注意事项”部分中的“Network Observability 控制器管理器 pod 内存不足”。 |
先决条件
-
如果您选择使用 Loki,请安装 Loki Operator 5.7+ 版本。
-
您必须具有
cluster-admin权限。 -
需要以下支持的架构之一:
amd64、ppc64le、arm64或s390x。 -
Red Hat Enterprise Linux (RHEL) 9 支持的任何 CPU。
-
必须配置 OVN-Kubernetes 作为主要的网络插件,并且可以选择使用 Multus 和 SR-IOV 的辅助接口。
|
此外,此安装示例使用 |
步骤
-
在 OpenShift Container Platform Web 控制台中,单击运算符→OperatorHub。
-
从**OperatorHub**中可用操作符列表中选择**网络可观测性操作符**,然后单击**安装**。
-
选中复选框
在此命名空间上启用操作符推荐的集群监控。 -
导航到**操作符** → **已安装的操作符**。在网络可观测性的提供的 API 下,选择**Flow Collector**链接。
-
导航到**Flow Collector**选项卡,然后单击**创建 FlowCollector**。在表单视图中进行以下选择
-
spec.agent.ebpf.Sampling:为流指定采样大小。较低的采样大小将对资源利用率产生更大的影响。有关更多信息,请参阅“FlowCollector API 参考”,
spec.agent.ebpf。 -
如果您不使用 Loki,请单击**Loki 客户端设置**并将**启用**更改为**禁用**。默认情况下,此设置为**启用**。
-
如果您使用 Loki,请设置以下规范
-
spec.loki.mode:将其设置为
LokiStack模式,该模式会自动设置 URL、TLS、集群角色和集群角色绑定,以及authToken值。或者,Manual模式允许更精细地控制这些设置的配置。 -
spec.loki.lokistack.name:将其设置为您的
LokiStack资源的名称。在本文档中,使用的是loki。
-
-
可选:如果您处于大规模环境中,请考虑使用 Kafka 配置
FlowCollector,以便以更具弹性、更可扩展的方式转发数据。请参阅“重要 Flow Collector 配置注意事项”部分中的“使用 Kafka 存储配置 Flow Collector 资源”。 -
可选:在创建
FlowCollector的下一步之前,配置其他可选设置。例如,如果您选择不使用 Loki,则可以配置将流导出到 Kafka 或 IPFIX。请参阅“重要 Flow Collector 配置注意事项”部分中的“将丰富的网络流量数据导出到 Kafka 和 IPFIX”以及更多内容。
-
-
单击**创建**。
验证
要确认此操作成功,当您导航到观察时,您应该看到选项中列出的网络流量。
在 OpenShift Container Platform 集群中没有应用程序流量的情况下,默认过滤器可能会显示“无结果”,这会导致没有可视化流量。在过滤器选择旁边,选择清除所有过滤器以查看流量。
启用网络可观察性中的多租户
网络可观察性 Operator 中的多租户允许和限制单个用户访问或组访问存储在 Loki 和/或 Prometheus 中的流。项目管理员可以访问。对某些命名空间访问权限有限的项目管理员只能访问这些命名空间的流。
对于开发人员,Loki 和 Prometheus 都可以使用多租户,但这需要不同的访问权限。
先决条件
-
如果您使用 Loki,则您已安装至少Loki Operator 版本 5.7。
-
您必须以项目管理员身份登录。
步骤
-
对于每个租户的访问,您必须具有
netobserv-reader集群角色和netobserv-metrics-reader命名空间角色才能使用开发人员视角。运行以下命令以获得此级别的访问权限$ oc adm policy add-cluster-role-to-user netobserv-reader <user_group_or_name>$ oc adm policy add-role-to-user netobserv-metrics-reader <user_group_or_name> -n <namespace> -
对于集群范围的访问,非集群管理员必须具有
netobserv-reader、cluster-monitoring-view和netobserv-metrics-reader集群角色。在这种情况下,您可以使用管理员视角或开发人员视角。运行以下命令以获得此级别的访问权限$ oc adm policy add-cluster-role-to-user netobserv-reader <user_group_or_name>$ oc adm policy add-cluster-role-to-user cluster-monitoring-view <user_group_or_name>$ oc adm policy add-cluster-role-to-user netobserv-metrics-reader <user_group_or_name>
重要的 Flow Collector 配置注意事项
创建FlowCollector实例后,您可以重新配置它,但 Pod 将被终止并重新创建,这可能会造成中断。因此,您可以在首次创建FlowCollector时考虑配置以下选项
其他资源
有关 Flow Collector 规范以及网络可观察性 Operator 架构和资源使用的更多一般信息,请参阅以下资源
迁移已删除的 FlowCollector CRD 存储版本
网络可观察性 Operator 版本 1.6 删除了旧的和已弃用的FlowCollector API 的v1alpha1版本。如果您之前在集群上安装了此版本,即使它已从 etcd 存储中删除,它也可能仍在FlowCollector CRD 的storedVersion中引用,这会阻止升级过程。这些引用需要手动删除。
有两种方法可以删除存储的版本
-
使用存储版本迁移 Operator。
-
卸载并重新安装网络可观察性 Operator,确保安装处于干净状态。
先决条件
-
您安装了较旧版本的 Operator,并且想要准备您的集群以安装最新版本的 Operator。或者您尝试安装网络可观察性 Operator 1.6 并遇到错误:
Failed risk of data loss updating "flowcollectors.flows.netobserv.io": new CRD removes version v1alpha1 that is listed as a stored version on the existing CRD。
步骤
-
验证旧的
FlowCollectorCRD 版本是否仍在storedVersion中引用$ oc get crd flowcollectors.flows.netobserv.io -ojsonpath='{.status.storedVersions}' -
如果结果列表中出现
v1alpha1,请继续执行步骤 a 使用 Kubernetes 存储版本迁移器或步骤 b 卸载并重新安装 CRD 和 Operator。-
选项 1:Kubernetes 存储版本迁移器:创建一个 YAML 来定义
StorageVersionMigration对象,例如migrate-flowcollector-v1alpha1.yamlapiVersion: migration.k8s.io/v1alpha1 kind: StorageVersionMigration metadata: name: migrate-flowcollector-v1alpha1 spec: resource: group: flows.netobserv.io resource: flowcollectors version: v1alpha1-
保存文件。
-
通过运行以下命令应用
StorageVersionMigration$ oc apply -f migrate-flowcollector-v1alpha1.yaml -
更新
FlowCollectorCRD 以手动从storedVersion中删除v1alpha1$ oc edit crd flowcollectors.flows.netobserv.io
-
-
选项 2:重新安装:将网络可观察性 Operator 1.5 版本的
FlowCollectorCR 保存到文件,例如flowcollector-1.5.yaml。$ oc get flowcollector cluster -o yaml > flowcollector-1.5.yaml-
按照“卸载网络可观察性 Operator”中的步骤操作,这将卸载 Operator 并删除现有的
FlowCollectorCRD。 -
安装网络可观察性 Operator 最新版本 1.6.0。
-
使用步骤 b 中保存的备份创建
FlowCollector。
-
-
验证
-
运行以下命令
$ oc get crd flowcollectors.flows.netobserv.io -ojsonpath='{.status.storedVersions}'结果列表中不应再显示
v1alpha1,而只显示最新版本v1beta1。
安装 Kafka(可选)
Kafka Operator 支持大规模环境。Kafka 提供高吞吐量和低延迟的数据馈送,以便以更具弹性、更可扩展的方式转发网络流量数据。您可以从 Operator Hub 安装 Kafka Operator 作为Red Hat AMQ Streams,就像安装 Loki Operator 和网络可观察性 Operator 一样。请参阅“使用 Kafka 配置 FlowCollector 资源”以将 Kafka 配置为存储选项。
|
要卸载 Kafka,请参阅与您用于安装的方法相对应的卸载过程。 |
卸载网络可观察性 Operator
您可以使用 OpenShift Container Platform Web 控制台 Operator Hub 卸载网络可观察性 Operator,在Operators → 已安装的 Operators区域中工作。
步骤
-
删除
FlowCollector自定义资源。-
单击Flow Collector,它位于提供的 API列中网络可观察性 Operator旁边。
-
单击选项菜单
(**集群**)并选择**删除 FlowCollector**。
-
-
卸载网络可观测性操作符。
-
返回到**操作符** → **已安装的操作符**区域。
-
单击**网络可观测性操作符**旁边的选项菜单
并选择**卸载操作符**。 -
**主页** → **项目** 并选择 `openshift-netobserv-operator`
-
导航到**操作**并选择**删除项目**
-
-
移除 `FlowCollector` 自定义资源定义 (CRD)。
-
导航到**管理** → **CustomResourceDefinitions**。
-
查找**FlowCollector** 并单击选项菜单
。 -
选择**删除 CustomResourceDefinition**。
如果已安装 Loki 操作符和 Kafka,则它们将保留,必须单独移除。此外,您可能在对象存储中还有剩余数据以及必须移除的持久卷。
-