K8S 集群优化之监控DDoS防御平台的建立之运维进阶-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > K8S 集群优化之监控DDoS防御平台的建立之运维进阶

K8S 集群优化之监控DDoS防御平台的建立之运维进阶

小墨安全管家 2020-06-30 12:08 CC防护 89 ℃
DDoS防御

K8S 集群优化之监控DDoS谨防平台的建立之运维进阶

部署cAdvisor(参见注释2)采集容器相关的性能指标数据,并经过metrics接口用Prometheus抓取;

4. 要紧指标监控

container_cpu_load_average_10s{container="",id="/",image="",name="",namespace="",pod=""}

4.1 Cadvisor指标采集

kube_job_status_failed{job=”kubernetes-service-endpoints”,k8s_app=”kube-state-metrics”}==1

对于Node_exporter,大伙儿有兴趣能够参考Prometheus项目中对于Node_exporter里面讲明如下:

5.内存(饱和度)

container_network_transmit_packets_dropped_total

容器的网络利用率,能够挑选以字节为单位依旧以数据包为单位。网络的指标有点不同,因为所有网络请求都在Pod级别上举行,而不是在容器上举行以下的查询将按pod名称显示每个pod的网络利用率:

# RSS内存,即常驻内存集,是分配给进程使用实际物理内存,而不是磁盘上缓存的虚拟内存。RSS内存包括所有分配的栈内存和堆内存,以及加载到物理内存中的共享库占用的内存空间,但不包括进入交换分区的内存

kube_node_status_condition{condition=~”OutOfDisk|MemoryPressure|DiskPressure”,status!=”false”}==1

1.CPU(利用率)

容器内进程自个儿主动暴露的各项指标数据;

在处理磁盘I/O时,我们经过寻找和读写来跟踪所有磁盘利用率,Cadvisor有以下指标能够做位差不多指标:

所有的优化指标基本上建立在对系统的充分了解上的,常规基于Kubernetes的监控方案有以下似乎有3种,我们就采纳比较主流的方案,也落低部署成本和后期集成复杂度。

#容器磁盘执行I/O的累计秒数

4.内存(利用率)

优化首先需要建立起一具目标,到底优化要达到一具啥样的目标,期望满脚啥样的需求,解决业务增加过程中发生的啥咨询题。监控平台的建立是为Kubernetes集群及运行的业务系统得出系统的真实性能,有了现有系统当前的真实性能就能够设定合理的优化指标,差不多基线指标才干合理评估当前Kubernetes容器及业务系统的性能。本文介绍了怎么建立有效的监控平台。

上图中的Service和ServiceMonitor基本上Kubernetes的资源,一具ServiceMonitor能够经过labelSelector的方式去匹配一类Service,Prometheus也能够经过labelSelector去匹配多个ServiceMonitor。

Prometheus Adapter for KubernetesMetrics APIs

container_memory_usage_bytes{instance="10.10.2.200:3002",job="panamax", name="PMX_UI"}18

container_network_receive_packets_dropped_total

6.2 日志场景

#上传字节(1m)

经过部署在每个Node上的Agent举行日志采集,Agent会把数据汇合到Logstash Server集群,再由Logstash加工清洗完成后发送到Kafka集群,再将数据存储到Elasticsearch,后期可经过Grafana或者Kibana做展现,这也是比较主流的一具做法。

各个组件的性能指标涉及组件如:ECTD,API Server, Controller Manager, Scheduler, Kubelet等;

资源监控要紧分为这几大类:如:CPU,内存,网络,磁盘等信息的监控(其它还有对GPU等监控),另外算是对各种组件服务的资源使用事情,自定义告警阈值等(简单的告警获能够沿用内部已有的,复杂的告警指标需自个儿依照集群和业务特征经过猎取参数举行计算或撰写PromQL猎取),建立全方位的监控指标(要紧监控指标项可参见Kube-prometheus部署后的相关信息,在此就不赘述),要紧监控项如下;

1. 监控平台建设

sum(

rate(container_cpu_usage_seconds_total [5m]))

要紧需要采集的各种日志分为以下场景:

container_memory_failcnt

sum(container_memory_working_set_bytes {name!~“ POD”})by name

#容器磁盘累计加权I/O时刻

container_memory_cache

container_memory_swap

#接收时丢包累计计数

参考 1:

sum(rate(container_fs_writes_bytes_total{image!=""}[1m]))without (device)

监控Event 转换过程种的变化信息,以下不过部份告警信息,Kube-Prometheus项目中有大部分告警指标,也能够从第三方导入相关告警事件:

cAdvisor(详见参考1)提供的Container指标最后来是底层Linux cgroup提供的。就像Node指标一样,然而我们最关怀的是CPU/内存/网络/磁盘。

1.主机系统内核日志采集:

container_network_receive_bytes_total

#接收时丢包累计计数

#内存分配失败次数

sum(rate(container_network_receive_bytes_total{id="/"}[1m])) by (id)


DDoS防御

当前位置:主页 > CC防护 > K8S 集群优化之监控DDoS防御平台的建立之运维进阶

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119