服务端面试题手册

Kubernetes 工作节点（Worker Node）是集群中运行容器化应用的工作机器，可以是物理机或虚拟机。每个工作节点都运行着必要的组件来管理和运行 Pod。工作节点组件1. kubeletkubelet 是工作节点上的主要代理，负责与控制平面通信并管理 Pod。主要职责：监听 API Server，获取 Pod 的期望状态确保容器按照 Pod 规范运行定期向控制平面报告节点和 Pod 的状态处理容器的生命周期（创建、启动、停止、删除）挂载和卸载存储卷运行健康检查（livenessProbe、readinessProbe、startupProbe）工作原理：kubelet 从 API Server 获取分配到该节点的 Pod 规范通过容器运行时接口（CRI）与容器运行时交互使用容器运行时创建和管理容器定期向 API Server 汇报节点和 Pod 状态配置文件：/var/lib/kubelet/config.yaml默认端口：10250（HTTPS）、10248（健康检查）、10255（只读 HTTP）2. kube-proxykube-proxy 负责维护节点上的网络规则，实现 Service 的负载均衡和服务发现。主要职责：监听 API Server 的 Service 和 Endpoint 变化维护网络规则（iptables 或 IPVS）将流量转发到后端 Pod实现 Service 的负载均衡工作模式：iptables 模式（默认）：使用 iptables 规则实现流量转发性能较好，但规则更新有延迟不支持复杂的负载均衡算法ipvs 模式：使用 Linux IPVS 实现负载均衡支持多种负载均衡算法（轮询、最少连接、源地址哈希等）性能更高，适合大规模集群需要加载 ipvs 内核模块userspace 模式（已废弃）：在用户空间实现负载均衡性能较差，已不再推荐使用配置示例：apiVersion: kubeproxy.config.k8s.io/v1alpha1kind: KubeProxyConfigurationmode: "ipvs"3. 容器运行时（Container Runtime）容器运行时负责运行容器的核心组件。Kubernetes 使用容器运行时接口（CRI）与容器运行时交互。支持的容器运行时：containerd（推荐）：CNCF 毕业项目轻量级、高性能Docker 的底层运行时CRI-O：专为 Kubernetes 设计轻量级、安全OCI 兼容Docker Engine（通过 dockershim，已废弃）：Kubernetes 1.24+ 已移除 dockershim不再推荐使用CRI 工作流程：kubelet 通过 CRI 接口调用容器运行时容器运行时创建和管理容器容器运行时返回容器状态信息节点状态节点条件（Conditions）节点条件描述节点的健康状态：Ready：节点是否健康并可以运行 PodTrue：节点健康False：节点不健康Unknown：节点控制器无法获取节点状态MemoryPressure：节点内存压力True：节点内存不足DiskPressure：节点磁盘压力True：节点磁盘空间不足PIDPressure：节点进程压力True：节点进程数过多NetworkUnavailable：节点网络不可用True：节点网络配置有问题节点容量和可分配资源Capacity：节点的总资源（CPU、内存、存储）Allocatable：节点可分配给 Pod 的资源（扣除系统预留）节点信息OS Image：操作系统镜像Kernel Version：内核版本Kubelet Version：kubelet 版本Container Runtime Version：容器运行时版本节点管理节点维护安全驱逐 Pod：kubectl drain <node-name> --ignore-daemonsets标记节点为不可调度：kubectl cordon <node-name>取消节点不可调度标记：kubectl uncordon <node-name>节点污点（Taints）污点用于阻止 Pod 调度到特定节点：# 添加污点kubectl taint nodes <node-name> key=value:NoSchedule# 查看污点kubectl describe node <node-name> | grep Taint# 删除污点kubectl taint nodes <node-name> key:NoSchedule-污点类型：NoSchedule：不调度新 Pod，已有 Pod 不受影响PreferNoSchedule：尽量不调度，但不是强制NoExecute：不调度新 Pod，已有 Pod 会被驱逐（除非有容忍度）节点标签（Labels）标签用于组织和选择节点：# 添加标签kubectl label nodes <node-name> disktype=ssd# 查看标签kubectl get nodes --show-labels# 删除标签kubectl label nodes <node-name> disktype-节点健康检查kubelet 定期执行健康检查：节点状态检查：检查节点资源是否充足容器健康检查：执行 livenessProbe 和 readinessProbe镜像拉取检查：检查镜像是否可用最佳实践资源预留：为系统进程和 kubelet 预留足够的 CPU 和内存监控节点：监控节点的 CPU、内存、磁盘和网络使用情况日志收集：收集 kubelet 和容器运行时的日志安全加固：使用 TLS 加密通信限制 kubelet API 访问定期更新组件版本节点维护：使用 drain 命令安全维护节点自动扩缩容：使用 Cluster Autoscaler 自动调整节点数量污点和容忍度：合理使用污点和容忍度控制 Pod 调度节点亲和性：使用节点亲和性优化 Pod 分配故障排查查看节点状态：kubectl describe node <node-name>查看 kubelet 日志：journalctl -u kubelet查看容器运行时日志：journalctl -u containerd检查节点资源：kubectl top nodes

Kubernetes 亲和性（Affinity）和反亲和性（Anti-Affinity）是用于控制 Pod 调度的机制，它们允许用户定义 Pod 与节点或其他 Pod 之间的关系，从而影响调度决策。亲和性类型1. 节点亲和性（Node Affinity）节点亲和性用于控制 Pod 调度到哪些节点上。requiredDuringSchedulingIgnoredDuringExecution硬性要求，Pod 必须调度到满足条件的节点上，否则调度失败。apiVersion: v1kind: Podmetadata: name: with-node-affinityspec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: kubernetes.io/e2e-az-name operator: In values: - us-west-1a containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecution软性偏好，调度器优先选择满足条件的节点，但如果没有满足条件的节点，也可以调度到其他节点。apiVersion: v1kind: Podmetadata: name: with-node-affinityspec: affinity: nodeAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 1 preference: matchExpressions: - key: disktype operator: In values: - ssd containers: - name: my-container image: nginx2. Pod 亲和性（Pod Affinity）Pod 亲和性用于控制 Pod 调度到哪些节点上，基于已经运行在该节点上的 Pod。requiredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-affinityspec: affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: security operator: In values: - S1 topologyKey: topology.kubernetes.io/zone containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-affinityspec: affinity: podAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 podAffinityTerm: labelSelector: matchExpressions: - key: security operator: In values: - S2 topologyKey: topology.kubernetes.io/zone containers: - name: my-container image: nginx3. Pod 反亲和性（Pod Anti-Affinity）Pod 反亲和性用于控制 Pod 不调度到哪些节点上，基于已经运行在该节点上的 Pod。requiredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-antiaffinityspec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-antiaffinityspec: affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 podAffinityTerm: labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname containers: - name: my-container image: nginx操作符类型In：标签的值在给定的列表中NotIn：标签的值不在给定的列表中Exists：标签存在DoesNotExist：标签不存在Gt：标签的值大于给定值（仅适用于数值）Lt：标签的值小于给定值（仅适用于数值）拓扑域键（Topology Key）拓扑域键用于定义节点的分组方式，常见的拓扑域键包括：kubernetes.io/hostname：按主机名分组topology.kubernetes.io/zone：按可用区分组topology.kubernetes.io/region：按区域分组node.kubernetes.io/instance-type：按实例类型分组亲和性规则的行为调度阶段（During Scheduling）required：硬性要求，必须满足preferred：软性偏好，优先满足执行阶段（During Execution）Ignored：Pod 运行后，如果条件不再满足，不影响已运行的 PodRequired：Pod 运行后，如果条件不再满足，需要驱逐 Pod（目前不支持）亲和性 vs nodeSelector| 特性 | nodeSelector | 节点亲和性 ||------|--------------|-----------|| 复杂度 | 简单 | 复杂 || 灵活性 | 低 | 高 || 支持的操作符 | 等值 | 多种操作符 || 优先级 | 无 | 支持权重 |使用场景节点亲和性使用场景硬件要求：将 Pod 调度到具有特定硬件的节点（如 GPU、SSD）区域要求：将 Pod 调度到特定区域或可用区操作系统要求：将 Pod 调度到运行特定操作系统的节点Pod 亲和性使用场景通信优化：将需要频繁通信的 Pod 调度到同一节点，减少网络延迟依赖关系：将依赖的 Pod 调度到同一节点，提高性能数据局部性：将 Pod 调度到存储数据的节点附近Pod 反亲和性使用场景高可用性：将相同应用的 Pod 分散到不同节点，避免单点故障资源竞争：避免资源密集型 Pod 调度到同一节点故障隔离：将不同应用的 Pod 分散到不同节点，减少故障影响范围最佳实践合理使用硬性要求：避免过度使用 required 规则，可能导致调度失败设置合理的权重：为 preferred 规则设置合适的权重，影响调度决策使用标签和注解：为节点和 Pod 添加有意义的标签，便于使用亲和性规则监控调度结果：监控 Pod 的调度情况，确保亲和性规则按预期工作结合污点和容忍度：结合使用亲和性和污点/容忍度，实现更精细的调度控制避免过度复杂：避免创建过于复杂的亲和性规则，影响调度性能测试规则：在非生产环境测试亲和性规则，确保正确性示例：高可用 Web 应用apiVersion: apps/v1kind: Deploymentmetadata: name: web-appspec: replicas: 3 selector: matchLabels: app: web template: metadata: labels: app: web spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname nodeAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 preference: matchExpressions: - key: disktype operator: In values: - ssd containers: - name: web image: nginx ports: - containerPort: 80这个示例确保：每个 Web Pod 调度到不同的节点（高可用性）优先选择具有 SSD 的节点（性能优化）

Kubernetes 中的 Pod 是最小的可部署单元，它包含一个或多个紧密相关的容器，这些容器共享网络和存储资源。Pod 的特点共享网络命名空间：同一个 Pod 中的容器共享同一个 IP 地址和端口空间，可以通过 localhost 相互通信。共享存储卷：Pod 中的容器可以共享挂载的存储卷，实现数据共享和持久化。原子性调度：Pod 作为一个整体被调度到同一个 Node 上运行。临时性：Pod 是临时的、可替换的，当 Pod 被删除或 Node 发生故障时，Pod 不会自动恢复。Pod 的生命周期Pod 的生命周期包括以下阶段：Pending：Pod 已被创建，但容器尚未启动，可能是因为镜像下载中或资源不足。Running：Pod 中的所有容器都已创建，至少有一个容器正在运行。Succeeded：Pod 中的所有容器都已成功终止。Failed：Pod 中的所有容器都已终止，但至少有一个容器以失败状态终止。Unknown：无法获取 Pod 的状态，通常是因为与 Pod 所在的 Node 通信失败。Pod 的重启策略Kubernetes 支持三种 Pod 重启策略：Always：容器失败时总是重启，这是默认策略。OnFailure：只有在容器以非零退出码失败时才重启。Never：容器失败时不重启。Pod 与容器的关系Pod 是容器的封装，一个 Pod 可以包含：单个主容器（最常见）一个主容器加一个或多个辅助容器（Sidecar 模式）多个协作的容器最佳实践一个 Pod 一个容器：对于大多数应用，建议一个 Pod 只包含一个容器，这样可以更好地管理和扩展。使用 Sidecar 模式：当需要多个紧密协作的容器时，可以使用 Sidecar 模式，例如日志收集、监控代理等。避免在 Pod 中运行多个不相关的容器：这会增加管理的复杂性，不利于扩展和故障排查。合理设置资源限制：为 Pod 设置 CPU 和内存的 requests 和 limits，避免资源争用。使用健康检查：配置 livenessProbe 和 readinessProbe，确保 Pod 的健康状态。

Kubernetes Service 是定义一组 Pod 的访问策略的抽象，它为 Pod 提供稳定的网络端点，即使 Pod 的 IP 地址发生变化，Service 也能保证服务的可访问性。Service 的作用服务发现：Service 为一组 Pod 提供统一的访问入口，客户端不需要知道具体的 Pod IP 地址。负载均衡：Service 自动将流量分发到后端的多个 Pod，实现负载均衡。稳定的网络标识：Service 拥有固定的 IP 地址和 DNS 名称，即使 Pod 重新创建，Service 的地址也不会改变。Service 的类型Kubernetes 支持四种 Service 类型：ClusterIP（默认）：在集群内部暴露服务只能从集群内部访问适合内部服务之间的通信NodePort：在每个 Node 上开放一个端口可以通过 NodeIP:Port 从外部访问端口范围：30000-32767LoadBalancer：在云提供商处创建外部负载均衡器自动将流量分发到 NodePort需要云提供商支持ExternalName：将服务映射到外部 DNS 名称不创建代理或负载均衡器适用于访问外部服务Service 的工作原理Service 通过 kube-proxy 实现：iptables 模式（默认）：kube-proxy 监听 API Server 的 Service 和 Endpoint 变化使用 iptables 规则将流量转发到后端 Pod性能较好，但更新规则时会有延迟IPVS 模式：使用 Linux IPVS（IP Virtual Server）实现负载均衡支持多种负载均衡算法（轮询、最少连接等）性能更高，适合大规模集群Service 的选择器Service 通过 selector 选择要代理的 Pod：apiVersion: v1kind: Servicemetadata: name: my-servicespec: selector: app: my-app ports: - protocol: TCP port: 80 targetPort: 8080EndpointService 的后端由 Endpoint 对象维护，Endpoint 包含所有匹配 selector 的 Pod 的 IP 地址和端口。无选择器的 ServiceService 可以不指定 selector，此时需要手动创建 Endpoint 对象，用于：访问集群外部的服务访问其他命名空间的服务访问外部数据库等最佳实践使用 ClusterIP 作为默认类型：除非需要外部访问，否则使用 ClusterIP 以提高安全性。合理设置 sessionAffinity：对于有状态的应用，可以设置 sessionAffinity 为 ClientIP，实现会话保持。使用 Headless Service：对于需要直接访问 Pod 的场景（如 StatefulSet），可以使用 Headless Service（ClusterIP: None）。监控 Service 的健康状态：定期检查 Endpoint 的状态，确保后端 Pod 正常。使用 Ingress 替代 LoadBalancer：对于 HTTP/HTTPS 服务，使用 Ingress 可以更灵活地管理路由和 SSL。

Kubernetes PersistentVolume（PV）和 PersistentVolumeClaim（PVC）是用于管理存储的两种重要资源，它们实现了存储资源的声明式管理和动态分配。PersistentVolume（PV）PersistentVolume 是集群中的一块存储，由管理员预先配置或通过存储类动态创建。PV 是集群级别的资源，独立于 Pod 的生命周期。PV 的生命周期Provisioning（配置）：静态配置：管理员手动创建 PV动态配置：通过 StorageClass 自动创建Binding（绑定）：PVC 请求存储时，控制器将 PVC 绑定到合适的 PV绑定是一对一的，一旦绑定，PV 就专属于该 PVCUsing（使用）：Pod 通过 PVC 使用存储存储可以挂载到 Pod 的指定路径Releasing（释放）：PVC 删除后，PV 进入 Released 状态PV 中的数据仍然保留Reclaiming（回收）：Retain（保留）：手动回收Recycle（回收）：已废弃，使用动态配置替代Delete（删除）：自动删除 PV 和底层存储PV 的访问模式ReadWriteOnce（RWO）：卷可以被单个节点以读写模式挂载适用于块存储ReadOnlyMany（ROX）：卷可以被多个节点以只读模式挂载适用于共享只读数据ReadWriteMany（RWX）：卷可以被多个节点以读写模式挂载适用于文件系统（如 NFS）ReadWriteOncePod（RWOP）：卷可以被单个 Pod 以读写模式挂载确保同一时间只有一个 Pod 访问PV 的状态Available：可用，未绑定到任何 PVCBound：已绑定到 PVCReleased：PVC 已删除，但资源尚未被集群回收Failed：自动回收失败PersistentVolumeClaim（PVC）PVC 是用户对存储的请求，类似于 Pod 对计算资源的请求。PVC 是命名空间级别的资源。PVC 的配置apiVersion: v1kind: PersistentVolumeClaimmetadata: name: my-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi storageClassName: standard selector: matchLabels: environment: productionPVC 的使用在 Pod 中使用 PVC：apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /data volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc在 Deployment 中使用 PVC：apiVersion: apps/v1kind: Deploymentmetadata: name: my-deploymentspec: replicas: 3 selector: matchLabels: app: my-app template: metadata: labels: app: my-app spec: volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /dataStorageClassStorageClass 定义了不同类型的存储，支持动态配置 PV。StorageClass 的配置apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: fastprovisioner: kubernetes.io/aws-ebsparameters: type: gp2 iopsPerGB: "10"reclaimPolicy: DeletevolumeBindingMode: WaitForFirstConsumerallowVolumeExpansion: true常见的 Provisionerkubernetes.io/aws-ebs：AWS EBS 块存储kubernetes.io/gce-pd：GCE 持久化磁盘kubernetes.io/azure-disk：Azure 磁盘kubernetes.io/azure-file：Azure 文件存储kubernetes.io/cinder：OpenStack Cinderkubernetes.io/nfs：NFS 存储rancher.io/local-path：本地路径存储StorageClass 参数provisioner：存储提供者parameters：存储提供者特定的参数reclaimPolicy：回收策略（Delete 或 Retain）volumeBindingMode：Immediate：立即绑定WaitForFirstConsumer：等待第一个消费者allowVolumeExpansion：是否允许卷扩展动态配置动态配置允许根据 PVC 自动创建 PV，无需管理员手动创建。动态配置流程用户创建 PVC，指定 StorageClassPersistentVolumeController 监听到 PVC控制器调用 StorageClass 的 provisioner 创建 PVPV 绑定到 PVCPod 可以使用 PVC动态配置示例apiVersion: v1kind: PersistentVolumeClaimmetadata: name: dynamic-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 5Gi storageClassName: fast静态配置静态配置需要管理员手动创建 PV，适用于特定的存储需求。静态 PV 示例apiVersion: v1kind: PersistentVolumemetadata: name: manual-pv labels: type: localspec: storageClassName: manual capacity: storage: 10Gi accessModes: - ReadWriteOnce persistentVolumeReclaimPolicy: Retain hostPath: path: /mnt/dataPV 和 PVC 的区别| 特性 | PV | PVC ||------|----|-----|| 作用域 | 集群级别 | 命名空间级别 || 创建者 | 管理员或动态配置 | 用户 || 用途 | 提供存储资源 | 请求存储资源 || 生命周期 | 独立于 Pod | 依赖于 Pod |最佳实践使用动态配置：优先使用 StorageClass 动态配置，减少手动管理设置合理的回收策略：生产环境使用 Retain，测试环境使用 Delete使用访问模式：根据应用需求选择合适的访问模式监控存储使用：监控 PV 和 PVC 的使用情况备份重要数据：定期备份 PV 中的重要数据使用标签和注解：为 PV 和 PVC 添加有意义的标签和注解设置资源限制：为 PVC 设置合理的存储请求使用存储类：为不同的应用需求创建不同的 StorageClass故障排查查看 PV 状态：kubectl get pvkubectl describe pv <pv-name>查看 PVC 状态：kubectl get pvckubectl describe pvc <pvc-name>查看 StorageClass：kubectl get storageclasskubectl describe storageclass <sc-name>查看 Pod 挂载情况：kubectl describe pod <pod-name>查看事件：kubectl get events --sort-by=.metadata.creationTimestamp

Logstash 是一个开源的服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到您最喜欢的"存储库"中。核心功能Logstash 的主要功能包括：数据采集：从各种数据源收集日志和事件数据数据转换：解析、过滤、丰富和规范化数据数据输出：将处理后的数据发送到目标存储系统工作原理Logstash 采用插件式架构，主要包含三个组件：1. Input 插件负责从数据源读取数据，常见的数据源包括：文件（File）系统日志（Syslog）网络协议（HTTP、TCP、UDP）消息队列（Kafka、RabbitMQ）数据库（JDBC）Beats（Filebeat、Metricbeat 等）2. Filter 插件对数据进行解析、过滤和转换，常用的过滤器包括：grok：将非结构化数据解析为结构化格式mutate：对字段进行重命名、删除、替换等操作date：解析时间戳并转换为 Logstash @timestamp 字段geoip：根据 IP 地址添加地理位置信息ruby：使用 Ruby 代码进行复杂的数据转换3. Output 插件将处理后的数据发送到目标系统，常见的输出目标包括：Elasticsearch文件系统消息队列数据库监控系统典型应用场景日志聚合：收集分布式系统中的各种日志日志分析：对日志进行解析、过滤和结构化数据转换：将不同格式的数据转换为统一格式实时监控：实时处理和转发监控数据ELK Stack：与 Elasticsearch 和 Kibana 组成完整的日志分析平台优势特点灵活性：支持多种输入和输出格式可扩展性：丰富的插件生态系统实时处理：支持流式数据处理易于配置：使用简单的配置文件定义数据处理流程高可用性：支持集群部署和负载均衡

Logstash 支持条件判断语句，可以根据字段值、标签或其他条件来控制数据流。这使得我们能够对不同的数据应用不同的处理逻辑。条件判断语法Logstash 支持以下条件操作符：比较操作符==：等于!=：不等于<：小于>：大于<=：小于等于>=：大于等于逻辑操作符and：逻辑与or：逻辑或nand：逻辑与非xor：逻辑异或not：逻辑非正则表达式=~：匹配正则表达式!~：不匹配正则表达式包含操作in：包含在数组中not in：不包含在数组中基本条件判断if 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }}if-else 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } else if [type] == "nginx" { grok { match => { "message" => "%{NGINXACCESS}" } } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}字段值判断字符串比较filter { if [log_level] == "ERROR" { mutate { add_tag => ["error_log"] } }}数值比较filter { if [response] >= 400 { mutate { add_tag => ["http_error"] } }}正则表达式匹配filter { if [message] =~ /exception/i { mutate { add_tag => ["exception"] } }}标签判断检查标签是否存在filter { if "error" in [tags] { # 处理错误日志 }}添加标签filter { if [status] >= 500 { mutate { add_tag => ["server_error"] } } else if [status] >= 400 { mutate { add_tag => ["client_error"] } }}复杂条件判断多条件组合filter { if [type] == "apache" and [response] >= 400 { mutate { add_tag => ["apache_error"] } }}使用括号分组filter { if ([type] == "apache" or [type] == "nginx") and [response] >= 400 { mutate { add_tag => ["web_error"] } }}嵌套条件filter { if [type] == "apache" { if [response] >= 500 { mutate { add_tag => ["apache_server_error"] } } else if [response] >= 400 { mutate { add_tag => ["apache_client_error"] } } }}在 Input 中使用条件判断input { file { path => "/var/log/*.log" type => "system" } if [type] == "system" { file { path => "/var/log/syslog" type => "syslog" } }}在 Filter 中使用条件判断根据字段值应用不同的过滤器filter { if [type] == "json" { json { source => "message" } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}处理解析失败filter { grok { match => { "message" => "%{PATTERN:field}" } tag_on_failure => ["_grokparsefailure"] } if "_grokparsefailure" in [tags] { # 处理解析失败的情况 mutate { add_field => { "parse_error" => "true" } } }}在 Output 中使用条件判断根据日志级别路由到不同的索引output { if [log_level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "error-logs-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "access-logs-%{+YYYY.MM.dd}" } }}多输出条件路由output { # 错误日志发送到专门的索引 if [level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "errors-%{+YYYY.MM.dd}" } } # 访问日志发送到 Kafka if [type] == "access" { kafka { bootstrap_servers => "localhost:9092" topic_id => "access-logs" } } # 所有日志都输出到文件备份 file { path => "/backup/all-logs.log" }}字段存在性检查检查字段是否存在filter { if [user_id] { # user_id 字段存在 mutate { add_tag => ["has_user_id"] } }}检查字段是否为空filter { if [user_id] and [user_id] != "" { # user_id 字段存在且不为空 mutate { add_tag => ["valid_user_id"] } }}数组操作检查数组是否包含元素filter { if "error" in [tags] { # tags 数组包含 "error" }}检查数组长度filter { if [tags] and [tags].length > 0 { # tags 数组不为空 }}最佳实践使用条件判断提高性能：避免对不必要的数据进行处理合理使用标签：使用标签标记不同类型的数据处理异常情况：使用条件判断处理解析失败等异常代码可读性：使用括号和缩进提高配置文件的可读性测试验证：使用测试数据验证条件判断逻辑实际应用示例完整的日志处理流程input { file { path => "/var/log/app/*.log" start_position => "beginning" }}filter { # 根据日志类型应用不同的解析逻辑 if [message] =~ /^\{/ { # JSON 格式日志 json { source => "message" } } else { # 文本格式日志 grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} \[%{LOGLEVEL:level}\] %{GREEDYDATA:msg}" } } } # 根据日志级别添加标签 if [level] == "ERROR" or [level] == "FATAL" { mutate { add_tag => ["error", "alert"] } } # 解析时间戳 if [timestamp] { date { match => ["timestamp", "ISO8601"] } }}output { # 错误日志发送到专门的索引 if "alert" in [tags] { elasticsearch { hosts => ["http://localhost:9200"] index => "alerts-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } }}

Logstash 支持集群部署，可以通过多个 Logstash 实例组成集群来提高处理能力和可用性。以下是 Logstash 集群部署和管理的相关内容。集群架构单机部署数据源 → Logstash → Elasticsearch适用于小规模场景，单台 Logstash 实例处理所有数据。集群部署数据源 → 负载均衡器 → Logstash 集群 → Elasticsearch ├── Logstash Node 1 ├── Logstash Node 2 └── Logstash Node 3适用于大规模场景，多个 Logstash 实例分担负载。负载均衡策略1. 使用 Beats 负载均衡# Filebeat 配置output.logstash: hosts: ["logstash1:5044", "logstash2:5044", "logstash3:5044"] loadbalance: true worker: 22. 使用消息队列数据源 → Kafka → Logstash 集群 → Elasticsearch ├── Logstash 1 ├── Logstash 2 └── Logstash 33. 使用负载均衡器数据源 → Nginx/HAProxy → Logstash 集群 → Elasticsearch持久化队列Logstash 支持持久化队列，可以在重启时保留数据，防止数据丢失。启用持久化队列# logstash.ymlqueue.type: persistedpath.queue: /path/to/queue/dataqueue.page_capacity: 250mbqueue.max_events: 0queue.max_bytes: 1gbqueue.drain: true内存队列# logstash.ymlqueue.type: memoryqueue.max_events: 10000配置管理1. 配置文件同步使用配置管理工具（如 Ansible、Puppet、Chef）同步配置文件到所有节点。2. 配置中心使用配置中心（如 Consul、etcd）管理配置。3. 配置版本控制将配置文件纳入版本控制系统（Git）。监控和告警1. Logstash 监控 API# 查看节点信息curl -XGET 'localhost:9600/_node'# 查看管道统计curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'# 查看插件统计curl -XGET 'localhost:9600/_node/stats/plugins?pretty'2. Prometheus 集成# logstash.ymlhttp.host: "0.0.0.0"http.port: 9600monitoring.enabled: truemonitoring.elasticsearch.hosts: ["http://es:9200"]3. 关键指标Events per second (EPS)Pipeline latencyQueue sizeJVM memory usageCPU usage高可用性1. 多实例部署部署多个 Logstash 实例，避免单点故障。2. 持久化队列启用持久化队列，防止数据丢失。3. 健康检查配置健康检查，自动重启失败的实例。4. 自动扩缩容根据负载自动调整实例数量。性能调优1. Pipeline Workers# logstash.ymlpipeline.workers: 4设置为 CPU 核心数的 1-2 倍。2. Batch Size# logstash.ymlpipeline.batch.size: 500增加批量大小可以提高吞吐量。3. JVM 内存# config/jvm.options-Xms4g-Xmx4g4. 垃圾回收器# config/jvm.options-XX:+UseG1GC故障排查1. 查看日志tail -f /var/log/logstash/logstash-plain.log2. 检查配置bin/logstash --config.test_and_exit -f /path/to/config.conf3. 调试模式bin/logstash --config.debug -f /path/to/config.conf4. 查看管道状态curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'实际部署示例Docker Compose 部署version: '3'services: logstash1: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash1.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5044:5044" - "9600:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g" logstash2: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash2.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5045:5044" - "9601:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g"Kubernetes 部署apiVersion: apps/v1kind: Deploymentmetadata: name: logstashspec: replicas: 3 selector: matchLabels: app: logstash template: metadata: labels: app: logstash spec: containers: - name: logstash image: docker.elastic.co/logstash/logstash:8.0.0 ports: - containerPort: 5044 - containerPort: 9600 resources: limits: memory: "4Gi" cpu: "2" requests: memory: "2Gi" cpu: "1" volumeMounts: - name: config mountPath: /usr/share/logstash/pipeline volumes: - name: config configMap: name: logstash-config最佳实践规划容量：根据数据量规划集群规模监控告警：建立完善的监控和告警机制配置管理：使用配置管理工具统一管理配置数据备份：定期备份配置和数据安全加固：启用 SSL/TLS，配置访问控制性能测试：上线前进行充分的性能测试文档记录：记录部署和运维文档

Logstash 支持多种输出插件，可以将处理后的数据发送到各种目标系统。以下是常用的输出插件及其配置方法。1. Elasticsearch 输出插件Elasticsearch 是 Logstash 最常用的输出目标。基本配置output { elasticsearch { hosts => ["http://localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" }}重要参数hosts：Elasticsearch 节点地址列表index：索引名称，支持日期模式document_type：文档类型（ES 7.x 后已废弃）document_id：文档 IDaction：操作类型（index、create、update、delete）pipeline：ES 管道名称高级配置output { elasticsearch { hosts => ["http://es1:9200", "http://es2:9200"] index => "app-logs-%{[service]}-%{+YYYY.MM.dd}" document_id => "%{[@metadata][_id]}" action => "update" doc_as_upsert => true pipeline => "timestamp_pipeline" # 性能优化 flush_size => 500 idle_flush_time => 1 retry_on_conflict => 3 # SSL 配置 ssl => true cacert => "/path/to/ca.crt" user => "elastic" password => "changeme" }}条件索引output { if [type] == "error" { elasticsearch { hosts => ["http://localhost:9200"] index => "error-logs-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "access-logs-%{+YYYY.MM.dd}" } }}2. File 输出插件File 插件将数据写入文件系统。基本配置output { file { path => "/path/to/output.log" }}重要参数path：输出文件路径codec：编解码器flush_interval：刷新间隔gzip：启用 gzip 压缩高级配置output { file { path => "/var/log/logstash/%{type}-%{+YYYY-MM-dd}.log" codec => line { format => "%{message}" } flush_interval => 5 gzip => true file_mode => 0644 dir_mode => 0755 }}3. Kafka 输出插件Kafka 插件将数据发送到 Kafka 消息队列。基本配置output { kafka { bootstrap_servers => "localhost:9092" topic_id => "processed-logs" }}重要参数bootstrap_servers：Kafka 服务器地址topic_id：主题名称codec：编解码器compression_type：压缩类型（none、gzip、snappy、lz4、zstd）高级配置output { kafka { bootstrap_servers => ["kafka1:9092", "kafka2:9092"] topic_id => "processed-logs" codec => "json" compression_type => "snappy" acks => "all" retries => 3 batch_size => 16384 linger_ms => 10 buffer_memory => 33554432 # SSL 配置 security_protocol => "SSL" ssl_keystore_location => "/path/to/keystore.jks" ssl_keystore_password => "password" ssl_truststore_location => "/path/to/truststore.jks" ssl_truststore_password => "password" }}动态主题output { kafka { bootstrap_servers => "localhost:9092" topic_id => "%{[service]}-logs" }}4. Redis 输出插件Redis 插件将数据发送到 Redis。基本配置output { redis { host => "localhost" port => 6379 data_type => "list" key => "logstash" }}数据类型list：列表类型channel：发布订阅频道set：集合类型高级配置output { redis { host => "redis.example.com" port => 6379 data_type => "list" key => "logstash-%{[type]}" codec => "json" db => 0 password => "secret" timeout => 5 reconnect_attempts => 3 reconnect_interval => 2 }}5. HTTP 输出插件HTTP 插件通过 HTTP 接口发送数据。基本配置output { http { url => "http://example.com/api/logs" http_method => "post" format => "json" }}重要参数url：目标 URLhttp_method：HTTP 方法（post、put、patch）format：数据格式（json、form、message）headers：HTTP 请求头高级配置output { http { url => "http://api.example.com/v1/logs" http_method => "post" format => "json" headers => { "Content-Type" => "application/json" "Authorization" => "Bearer %{[api_token]}" } mapping => { "timestamp" => "%{@timestamp}" "message" => "%{message}" "level" => "%{[log_level]}" } pool_size => 50 pool_max_per_route => 25 keepalive => true retry_non_idempotent => true }}6. Stdout 输出插件Stdout 插件将数据输出到标准输出，常用于调试。基本配置output { stdout { codec => rubydebug }}编解码器选项rubydebug：格式化输出json：JSON 格式json_lines：每行一个 JSONdots：点号输出7. 多输出配置可以同时配置多个输出插件：output { # 输出到 Elasticsearch elasticsearch { hosts => ["http://localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } # 同时输出到文件备份 file { path => "/backup/logs-%{+YYYY-MM-dd}.log" } # 错误日志发送到 Kafka if [level] == "ERROR" { kafka { bootstrap_servers => "localhost:9092" topic_id => "error-logs" } }}8. 条件输出使用条件语句控制数据流向：output { if [type] == "apache" { elasticsearch { hosts => ["http://localhost:9200"] index => "apache-%{+YYYY.MM.dd}" } } else if [type] == "nginx" { elasticsearch { hosts => ["http://localhost:9200"] index => "nginx-%{+YYYY.MM.dd}" } } else { file { path => "/var/log/other-logs.log" } }}最佳实践批量写入：使用 flushsize 和 idleflush_time 优化性能错误处理：配置重试机制和错误日志索引策略：合理设计索引命名和分片策略安全配置：使用 SSL/TLS 保护数据传输监控指标：监控输出插件的性能指标备份策略：重要数据配置多个输出目标

Logstash 支持多种输入插件，可以从各种数据源收集数据。以下是常用的输入插件及其使用方法。1. File 输入插件File 插件用于从文件系统读取日志文件。基本配置input { file { path => "/var/log/*.log" start_position => "beginning" sincedb_path => "/dev/null" }}重要参数path：要读取的文件路径，支持通配符start_position：开始读取的位置（beginning 或 end）sincedb_path：记录读取位置的文件路径type：为事件添加类型标识tags：为事件添加标签高级配置input { file { path => ["/var/log/apache/*.log", "/var/log/nginx/*.log"] exclude => ["*.gz", "*.zip"] start_position => "beginning" sincedb_path => "/var/lib/logstash/sincedb" discover_interval => 15 stat_interval => 1 mode => "read" file_completed_action => "delete" file_completed_log_path => "/var/log/logstash/completed.log" }}2. Beats 输入插件Beats 插件用于接收来自 Beats（如 Filebeat、Metricbeat）的数据。基本配置input { beats { port => 5044 }}重要参数port：监听端口host：绑定地址ssl：启用 SSL/TLSclientinactivitytimeout：客户端不活动超时时间SSL 配置input { beats { port => 5044 ssl => true ssl_certificate => "/path/to/cert.pem" ssl_key => "/path/to/key.pem" ssl_certificate_authorities => ["/path/to/ca.pem"] ssl_verify_mode => "force_peer" }}3. Kafka 输入插件Kafka 插件用于从 Kafka 消息队列消费数据。基本配置input { kafka { bootstrap_servers => "localhost:9092" topics => ["logs"] group_id => "logstash-consumer" }}重要参数bootstrap_servers：Kafka 服务器地址topics：要消费的主题列表group_id：消费者组 IDconsumer_threads：消费者线程数decorate_events：添加 Kafka 元数据到事件高级配置input { kafka { bootstrap_servers => ["kafka1:9092", "kafka2:9092"] topics => ["app-logs", "system-logs"] group_id => "logstash-group" consumer_threads => 4 fetch_min_bytes => 1 fetch_max_wait_ms => 100 max_partition_fetch_bytes => 1048576 session_timeout_ms => 10000 auto_offset_reset => "latest" enable_auto_commit => false decorate_events => true codec => "json" }}4. HTTP 输入插件HTTP 插件通过 HTTP 接口接收数据。基本配置input { http { port => 8080 codec => "json" }}重要参数port：监听端口host：绑定地址codec：编解码器ssl：启用 SSL认证配置input { http { port => 8080 user => "admin" password => "secret" ssl => true ssl_certificate => "/path/to/cert.pem" ssl_key => "/path/to/key.pem" }}5. TCP/UDP 输入插件TCP/UDP 插件用于接收网络协议数据。TCP 配置input { tcp { port => 5000 codec => "json_lines" mode => "server" }}UDP 配置input { udp { port => 5001 codec => "json" workers => 2 }}6. Syslog 输入插件Syslog 插件用于接收系统日志。基本配置input { syslog { port => 514 type => "syslog" }}高级配置input { syslog { port => 514 host => "0.0.0.0" codec => "plain" use_rfc5424e => true grok_patterns => ["RSYSLOGBASE"] timezone => "UTC" }}7. JDBC 输入插件JDBC 插件用于从数据库读取数据。基本配置input { jdbc { jdbc_driver_library => "/path/to/mysql-connector.jar" jdbc_driver_class => "com.mysql.jdbc.Driver" jdbc_connection_string => "jdbc:mysql://localhost:3306/mydb" jdbc_user => "user" jdbc_password => "password" schedule => "* * * * *" statement => "SELECT * FROM logs WHERE created_at > :sql_last_value" }}重要参数jdbcdriverlibrary：JDBC 驱动程序路径jdbcdriverclass：JDBC 驱动类名jdbcconnectionstring：数据库连接字符串schedule：执行计划（cron 表达式）statement：SQL 查询语句usecolumnvalue：使用列值跟踪tracking_column：跟踪列名lastrunmetadata_path：元数据存储路径8. Redis 输入插件Redis 插件用于从 Redis 读取数据。基本配置input { redis { host => "localhost" port => 6379 data_type => "list" key => "logstash" }}数据类型list：列表类型channel：发布订阅频道pattern_channel：模式匹配频道多输入配置可以同时配置多个输入插件：input { file { path => "/var/log/app/*.log" type => "app-log" } beats { port => 5044 type => "beats-log" } kafka { bootstrap_servers => "localhost:9092" topics => ["system-logs"] type => "kafka-log" }}最佳实践合理使用 start_position：生产环境通常使用 "end"配置 sincedb_path：避免重启后重复读取使用类型和标签：便于后续过滤和处理启用 SSL：保护数据传输安全监控输入性能：使用指标监控输入插件的性能