Fluentd: 出力バッファを構成することが重要な理由

現在では、クラスターのアプリケーションとシステム コンポーネントの両方のログを保存する ELK スタックなしで Kubernetes ベースのプロジェクトを想像することは不可能です。 私たちの実践では、Logstash の代わりに Fluentd で EFK スタックを使用します。

Fluentd は最新のユニバーサル ログ コレクターであり、ますます人気が高まっており、Cloud Native Computing Foundation に参加しています。そのため、Fluentd の開発ベクトルは Kubernetes と組み合わせて使用​​することに重点が置かれています。

Logstash の代わりに Fluentd を使用するという事実は、ソフトウェア パッケージの一般的な本質を変更するものではありませんが、Fluentd は、その多用途性に起因する独自のニュアンスによって特徴付けられます。

たとえば、ログの強度が高い多忙なプロジェクトで EFK を使い始めたとき、Kibana で一部のメッセージが何度も繰り返し表示されるという事実に直面しました。 この記事では、この現象が発生する理由と問題の解決方法を説明します。

書類の重複問題

私たちのプロジェクトでは、Fluentd は DaemonSet としてデプロイされ (Kubernetes クラスターの各ノード上の XNUMX つのインスタンスで自動的に起動されます)、/var/log/containers の stdout コンテナー ログを監視します。 収集と処理の後、JSON ドキュメント形式のログが ElasticSearch に送信され、プロジェクトの規模とパフォーマンスとフォールト トレランスの要件に応じて、クラスター形式またはスタンドアロン形式で生成されます。 Kibana はグラフィカル インターフェイスとして使用されます。

Fluentd を出力バッファリング プラグインとともに使用すると、ElasticSearch の一部のドキュメントがまったく同じコンテンツを持ち、識別子のみが異なるという状況に遭遇しました。 Nginx ログを例として使用すると、これがメッセージの繰り返しであることを確認できます。 ログ ファイルには、次のメッセージが XNUMX つのコピーとして存在します。

127.0.0.1 192.168.0.1 - [28/Feb/2013:12:00:00 +0900] "GET / HTTP/1.1" 200 777 "-" "Opera/12.0" -

ただし、ElasticSearch には次のメッセージを含むドキュメントがいくつかあります。

{
  "_index": "test-custom-prod-example-2020.01.02",
  "_type": "_doc",
  "_id": "HgGl_nIBR8C-2_33RlQV",
  "_version": 1,
  "_score": 0,
  "_source": {
    "service": "test-custom-prod-example",
    "container_name": "nginx",
    "namespace": "test-prod",
    "@timestamp": "2020-01-14T05:29:47.599052886 00:00",
    "log": "127.0.0.1 192.168.0.1 - [28/Feb/2013:12:00:00  0900] "GET / HTTP/1.1" 200 777 "-" "Opera/12.0" -",
    "tag": "custom-log"
  }
}

{
  "_index": "test-custom-prod-example-2020.01.02",
  "_type": "_doc",
  "_id": "IgGm_nIBR8C-2_33e2ST",
  "_version": 1,
  "_score": 0,
  "_source": {
    "service": "test-custom-prod-example",
    "container_name": "nginx",
    "namespace": "test-prod",
    "@timestamp": "2020-01-14T05:29:47.599052886 00:00",
    "log": "127.0.0.1 192.168.0.1 - [28/Feb/2013:12:00:00  0900] "GET / HTTP/1.1" 200 777 "-" "Opera/12.0" -",
    "tag": "custom-log"
  }
}

さらに、XNUMX 回以上の繰り返しがあってもよい。

Fluentd ログでこの問題を修正しているときに、次の内容を含む多数の警告が表示されることがあります。

2020-01-16 01:46:46 +0000 [warn]: [test-prod] failed to flush the buffer. retry_time=4 next_retry_seconds=2020-01-16 01:46:53 +0000 chunk="59c37fc3fb320608692c352802b973ce" error_class=Fluent::Plugin::ElasticsearchOutput::RecoverableRequestFailure error="could not push logs to Elasticsearch cluster ({:host=>"elasticsearch", :port=>9200, :scheme=>"http", :user=>"elastic", :password=>"obfuscated"}): read timeout reached"

これらの警告は、ElasticSearch が request_timeout パラメーターで指定された時間内にリクエストに対する応答を返せないために、転送されたバッファー フラグメントをクリアできない場合に発生します。 この後、Fluentd はバッファ フラグメントを ElasticSearch に再度送信しようとし、任意の回数試行した後、操作は正常に完了します。

2020-01-16 01:47:05 +0000 [warn]: [test-prod] retry succeeded. chunk_id="59c37fc3fb320608692c352802b973ce" 
2020-01-16 01:47:05 +0000 [warn]: [test-prod] retry succeeded. chunk_id="59c37fad241ab300518b936e27200747" 
2020-01-16 01:47:05 +0000 [warn]: [test-dev] retry succeeded. chunk_id="59c37fc11f7ab707ca5de72a88321cc2" 
2020-01-16 01:47:05 +0000 [warn]: [test-dev] retry succeeded. chunk_id="59c37fb5adb70c06e649d8c108318c9b" 
2020-01-16 01:47:15 +0000 [warn]: [kube-system] retry succeeded. chunk_id="59c37f63a9046e6dff7e9987729be66f"

ただし、ElasticSearch は転送された各バッファ フラグメントを一意のものとして扱い、インデックス作成時にそれらに一意の _id フィールド値を割り当てます。 このようにして、メッセージのコピーが表示されます。

Kibana では次のようになります。

ソリューション

この問題を解決するには、いくつかのオプションがあります。 そのうちの XNUMX つは、各ドキュメントに一意のハッシュを生成するために fluent-plugin-elasticsearch プラグインに組み込まれたメカニズムです。 このメカニズムを使用すると、ElasticSearch は転送段階で繰り返しを認識し、ドキュメントの重複を防ぎます。 しかし、この問題解決方法では調査が難しく、タイムアウトがないとエラーが解消されないことを考慮する必要があるため、この方法の使用を断念しました。

Fluentd 出力ではバッファリング プラグインを使用して、短期的なネットワークの問題やログ強度の増加が発生した場合のログ損失を防ぎます。 何らかの理由で ElasticSearch がドキュメントをインデックスに即座に書き込むことができない場合、ドキュメントはキューに入れられ、ディスクに保存されます。 したがって、私たちの場合、上記のエラーにつながる問題の原因を排除するには、Fluentd 出力バッファーが十分なサイズになり、バッファリング パラメーターに正しい値を設定する必要があります。同時に、割り当てられた時間内にクリアすることができます。

以下で説明するパラメータの値は、サービスによるログへのメッセージの書き込み強度、ディスク システムのパフォーマンス、ネットワークなどの多くの要因に依存するため、出力プラグインでバッファリングを使用する特定のケースごとに個別であることに注意してください。チャネル負荷とその帯域幅。 したがって、個々のケースに適しているが冗長ではないバッファ設定を取得し、やみくもに長時間の検索を回避するには、Fluentd が動作中にログに書き込むデバッグ情報を使用して、比較的迅速に正しい値を取得できます。

問題が記録された時点では、構成は次のようになっていました。

 <buffer>
        @type file
        path /var/log/fluentd-buffers/kubernetes.test.buffer
        flush_mode interval
        retry_type exponential_backoff
        flush_thread_count 2
        flush_interval 5s
        retry_forever
        retry_max_interval 30
        chunk_limit_size 8M
        queue_limit_length 8
        overflow_action block
      </buffer>

問題を解決するとき、次のパラメータの値が手動で選択されました。
chunk_limit_size — バッファ内のメッセージが分割されるチャンクのサイズ。

• lush_interval — バッファがクリアされるまでの時間間隔。
• queue_limit_length — キュー内のチャンクの最大数。
• request_timeout は、Fluentd と ElasticSearch 間の接続が確立される時間です。

合計バッファ サイズは、パラメータ queue_limit_length と chunk_limit_size を乗算することで計算できます。これは、「それぞれが指定されたサイズを持つキュー内のチャンクの最大数」として解釈できます。 バッファ サイズが不十分な場合は、次の警告がログに表示されます。

2020-01-21 10:22:57 +0000 [warn]: [test-prod] failed to write data into buffer by buffer overflow action=:block

これは、割り当てられた時間内にバッファをクリアする時間がなく、バッファ全体に入るデータがブロックされ、ログの一部が失われることを意味します。

バッファーを増やすには XNUMX つの方法があります。XNUMX つはキュー内の各チャンクのサイズを増やすか、キューに入れることができるチャンクの数を増やすことです。

チャンク サイズ chunk_limit_size を 32 メガバイトを超える値に設定すると、受信パケットが大きすぎるため、ElasticSeacrh はそれを受け入れません。 したがって、バッファをさらに増やす必要がある場合は、最大キュー長 queue_limit_length を増やすことをお勧めします。

バッファーのオーバーフローが止まり、タイムアウトが不十分であるというメッセージだけが残ったら、request_timeout パラメーターを増やし始めることができます。 ただし、値を 20 秒を超える値に設定すると、次の警告が Fluentd ログに表示され始めます。

2020-01-21 09:55:33 +0000 [warn]: [test-dev] buffer flush took longer time than slow_flush_log_threshold: elapsed_time=20.85753920301795 slow_flush_log_threshold=20.0 plugin_id="postgresql-dev" 

このメッセージはシステムの動作にはまったく影響を与えません。バッファのフラッシュ時間が、slow_flush_log_threshold パラメータで設定された時間よりも長くかかったことを意味します。 これはデバッグ情報であり、request_timeout パラメーターの値を選択するときに使用します。

一般化された選択アルゴリズムは次のとおりです。

1. request_timeout を、必要以上 (数百秒) であることが保証される値に設定します。 セットアップ中に、このパラメータを正しく設定するための主な基準は、タイムアウト不足に関する警告が消えることです。
2. throw_flush_log_threshold しきい値を超えたことに関するメッセージを待ちます。 elapsed_time フィールドの警告テキストには、バッファがクリアされたリアルタイム時間が表示されます。
3. request_timeout を、観察期間中に取得された最大 elapsed_time 値よりも大きい値に設定します。 request_timeout 値は、elapsed_time + 50% として計算されます。
4. 長時間のバッファ フラッシュに関する警告をログから削除するには、slow_flush_log_threshold の値を大きくします。 この値は、elapsed_time + 25% として計算されます。

前述のように、これらのパラメータの最終値はケースごとに個別に取得されます。 上記のアルゴリズムに従うことで、メッセージの繰り返しにつながるエラーを確実に排除できます。

以下の表は、メッセージの重複につながる XNUMX 日あたりのエラー数が、上記のパラメーターの値を選択するプロセスでどのように変化するかを示しています。

ノード1
ノード2
ノード3
ノード4

ビフォアーアフター
ビフォアーアフター
ビフォアーアフター
ビフォアーアフター

バッファのフラッシュに失敗しました
1749/2
694/2
47/0
1121/2

再試行が成功しました
410/2
205/1
24/0
241/2

さらに、プロジェクトが成長し、それに応じてログの数が増加するにつれて、結果として得られる設定の関連性が失われる可能性があることにも注意してください。 タイムアウトが不十分であることの主な兆候は、Fluentd ログへの長いバッファ フラッシュに関するメッセージが返されること、つまり、slow_flush_log_threshold のしきい値を超えていることです。 この時点から、request_timeout パラメーターを超えるまでにはまだわずかなマージンがあるため、これらのメッセージにタイムリーに応答し、上記の最適な設定を選択するプロセスを繰り返す必要があります。

まとめ

Fluentd 出力バッファの微調整は、EFK スタックを構成する主要な段階の XNUMX つであり、その動作の安定性とインデックス内のドキュメントの正しい配置を決定します。 説明した構成アルゴリズムに基づいて、すべてのログが繰り返しや損失なく正しい順序で ElasticSearch インデックスに書き込まれることを確認できます。

私たちのブログの他の記事もお読みください。

• Go と Zabbix 5.0 が友達になりました
• ダウンタイムなしで Kubernetes クラスターをアップグレードする
• Kubernetes: システム リソース管理を構成することがなぜそれほど重要なのでしょうか?
• Docker イメージを縮小するための XNUMX つの簡単なトリック
• 多数の異種 Web プロジェクトのバックアップ

出所： habr.com