Будучы напісанай на мове Rust, яна адрозніваецца высокай прадукцыйнасцю і нізкім спажываннем аператыўнай памяці ў параўнанні з аналагамі. Акрамя таго, вялікая ўвага нададзена функцый, злучаным з карэктнасцю, у прыватнасці, магчымасцям захавання неадпраўленых падзей у буфер на кружэлцы і ратацыі файлаў.
Архітэктурна Vector з'яўляецца роўтэрам падзей, якія прымаюць паведамленні з аднаго або некалькіх крыніц, якія апцыянальна прымяняюць над гэтымі паведамленнямі пераўтварэнні, і якія адпраўляюць іх у адзін або некалькі сцёкаў.
Vector гэта замена filebeat і logstash, ён можа выступаць у абодвух ролях (атрымліваць і адпраўляць логі), больш падрабязней на іх сайце.
Калі ў Logstash ланцужок будуецца як input → filter → output то ў Vector гэта крыніц → правобразы → ракавіны
Прыклады можна паглядзець у дакументацыі.
Гэтая інструкцыя перапрацаваная інстукцыя ад Вячаслава Рахінскага. У арыгінальнай інструкцыі ёсць апрацоўка geoip. У мяне пры тэставанні geoip з унутранай сеткі, vector выдаваў памылку.
Aug 05 06:25:31.889 DEBUG transform{name=nginx_parse_rename_fields type=rename_fields}: vector::transforms::rename_fields: Field did not exist field=«geoip.country_name» rate_limit_secs=30
Калі камусьці трэба апрацоўваць geoip, то звернецеся да арыгінальнай інструкцыі ад Вячаслава Рахінскага.
Будзем наладжваць звязак Nginx (Access logs) → Vector (Client | Filebeat) → Vector (Server | Logstash) → асобна ў Clickhouse і асобна Elasticsearch. Усталюем 4 сервера. Хаця можна абыйсці 3 серверамі.
Схема прыкладна такая.
Выключаем Selinux на ўсіх вашых серверах
sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config
reboot
На ўсе серверы ўсталёўваны эмулятар HTTP сервера + утыліты
ClickHouse выкарыстоўваюць набор інструкцый SSE 4.2, таму, калі не пазначана іншае, яго падтрымка ў выкарыстоўваным працэсары, становіцца дадатковым патрабаваннем да сістэмы. Вось каманда, каб праверыць, ці падтрымлівае бягучы працэсар SSE 4.2:
Настройка Elasticsearch для single-node рэжыму 1 shard, 0 replica. Хутчэй за ўсё ў ва будзе кластар з вялікай колькасці сервераў і вам гэта рабіць не трэба.
Для будучых індэксаў абнаўляем шаблон па змаўчанні:
INFO vector::topology::builder: Healthcheck: Passed.
INFO vector::topology::builder: Healthcheck: Passed.
На кліенце (Web server) – 1-ы сервер
На серверы з nginx неабходна выключыць ipv6, бо ў табліцы logs у clickhouse выкарыстоўваецца поле upstream_addr IPv4, так як я не выкарыстоўваю ipv6 ўнутры сеткі. Калі ipv6 не выключыць, то будуць памылкі:
DB::Exception: Invalid IPv4 value.: (while read the value of key upstream_addr)
Для пачатку нам трэба наладзіць фармат логаў у Nginx у файле /etc/nginx/nginx.conf
user nginx;
# you must set worker processes based on your CPU cores, nginx does not benefit from setting more than that
worker_processes auto; #some last versions calculate it automatically
# number of file descriptors used for nginx
# the limit for the maximum FDs on the server is usually set by the OS.
# if you don't set FD's then OS settings will be used which is by default 2000
worker_rlimit_nofile 100000;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
# provides the configuration file context in which the directives that affect connection processing are specified.
events {
# determines how much clients will be served per worker
# max clients = worker_connections * worker_processes
# max clients is also limited by the number of socket connections available on the system (~64k)
worker_connections 4000;
# optimized to serve many clients with each thread, essential for linux -- for testing environment
use epoll;
# accept as many connections as possible, may flood worker connections if set too low -- for testing environment
multi_accept on;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
log_format vector escape=json
'{'
'"node_name":"nginx-vector",'
'"timestamp":"$time_iso8601",'
'"server_name":"$server_name",'
'"request_full": "$request",'
'"request_user_agent":"$http_user_agent",'
'"request_http_host":"$http_host",'
'"request_uri":"$request_uri",'
'"request_scheme": "$scheme",'
'"request_method":"$request_method",'
'"request_length":"$request_length",'
'"request_time": "$request_time",'
'"request_referrer":"$http_referer",'
'"response_status": "$status",'
'"response_body_bytes_sent":"$body_bytes_sent",'
'"response_content_type":"$sent_http_content_type",'
'"remote_addr": "$remote_addr",'
'"remote_port": "$remote_port",'
'"remote_user": "$remote_user",'
'"upstream_addr": "$upstream_addr",'
'"upstream_bytes_received": "$upstream_bytes_received",'
'"upstream_bytes_sent": "$upstream_bytes_sent",'
'"upstream_cache_status":"$upstream_cache_status",'
'"upstream_connect_time":"$upstream_connect_time",'
'"upstream_header_time":"$upstream_header_time",'
'"upstream_response_length":"$upstream_response_length",'
'"upstream_response_time":"$upstream_response_time",'
'"upstream_status": "$upstream_status",'
'"upstream_content_type":"$upstream_http_content_type"'
'}';
access_log /var/log/nginx/access.log main;
access_log /var/log/nginx/access.json.log vector; # Новый лог в формате json
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
include /etc/nginx/conf.d/*.conf;
}
Каб не паламаць вашу бягучую канфігурацыю, Nginx дазваляе мець некалькі дырэктыў access_log
access_log /var/log/nginx/access.log main; # Стандартный лог
access_log /var/log/nginx/access.json.log vector; # Новый лог в формате json
Не забудзьцеся дадаць правіла ў logrotate для новых логаў (калі log фаіл не сканчаецца на .log)
І наладзім замену Filebeat у канфігу /etc/vector/vector.toml. IP адрас 172.26.10.108 - гэта IP адрас log сервера (Vector-Server)
data_dir = "/var/lib/vector"
[sources.nginx_file]
type = "file"
include = [ "/var/log/nginx/access.json.log" ]
start_at_beginning = false
fingerprinting.strategy = "device_and_inode"
[sinks.nginx_output_vector]
type = "vector"
inputs = [ "nginx_file" ]
address = "172.26.10.108:9876"
Не забудзьцеся дадаць карыстача vector у патрэбную групу што б ён мог чытаць log файлы. Напрыклад, nginx у centos стварае логі з правамі групы adm.
usermod -a -G adm vector
Запусцім сэрвіс vector
systemctl enable vector
systemctl start vector
Логі vector можна паглядзець так
journalctl -f -u vector
У логах павінен быць такі запіс
INFO vector::topology::builder: Healthcheck: Passed.
Нагрузачнае тэсціраванне
Тэставанне праводзім з дапамогай Apache benchmark.
На ўсе серверы быў усталяваны пакет httpd-tools
Запускаем тэсціраванне з дапамогай Apache benchmark c 4 розных сервераў у screen. Спачатку запускаем тэрмінальны мультыплексар screen, а затым запускаем тэставанне з дапамогай Apache benchmark. Як працаваць з screen вы можаце знайсці ў артыкуле.
З аднаго сервера
while true; do ab -H "User-Agent: 1server" -c 100 -n 10 -t 10 http://vhost1/; sleep 1; done
З аднаго сервера
while true; do ab -H "User-Agent: 2server" -c 100 -n 10 -t 10 http://vhost2/; sleep 1; done
З аднаго сервера
while true; do ab -H "User-Agent: 3server" -c 100 -n 10 -t 10 http://vhost3/; sleep 1; done
З аднаго сервера
while true; do ab -H "User-Agent: 4server" -c 100 -n 10 -t 10 http://vhost4/; sleep 1; done
select concat(database, '.', table) as table,
formatReadableSize(sum(bytes)) as size,
sum(rows) as rows,
max(modification_time) as latest_modification,
sum(bytes) as bytes_size,
any(engine) as engine,
formatReadableSize(sum(primary_key_bytes_in_memory)) as primary_keys_size
from system.parts
where active
group by database, table
order by bytes_size desc;
Даведаемся колькі ў Clickhouse занялі логі.
Памер табліцы logs займае 857.19 МБ.
Памер тых жа дадзеных у азначніку ў Elasticsearch займае 4,5ГБ.
Калі ў vector у параметрах не паказваць у Clickhouse дадзеныя займае ў 4500/857.19 = 5.24 разы менш чым у Elasticsearch.
У vector поле compression выкарыстоўваецца па змаўчанні.