[系统集成] 基于 elasticsearch 的企业监控方案

heberoxx

　　注：
　　2017年10月16日：
　　使用中发现 es 查询时序数据的性能较差，且 watch 脚本的编写比较麻烦，因此已将监控系统切换到了 influxdb+grafana平台。新监控系统各方面情况比较满意。
　　---------------
　　在企业监控领域，nagios 和 zabbix 一直是使用率比较高的工具。最近几年，业界又出现了新的工具和架构，比如：telegraf（数据抓取工具，还有 collectd, logstash，heapster） + influxdb（数据存储和搜索工具，还有 elasticsearch、opentsd） + kapacitor（数据处理和报警工具，还有 elastAlert，watch） + grafana（数据展示工具）。新的监控工具和架构具有分布式架构、组件独立、松耦合、易于扩展、插件丰富、适用范围广等优点，从容器监控到传统的服务器、虚拟机监控都适用。
　　在数据存储和搜索方面，influxdb 正在快速发展中，目前免费版没有集群功能；而elasticsearch 是一种健壮、高效、使用广泛的大数据全文搜索引擎，将监控数据存储在 es里，能与大数据平台结合，发挥更大作用。
　　（转载请注明出处：http://www.cnblogs.com/hahp）

1. 系统结构图
　　注：我的测试环境数据不多，因此源数据由 heapster 和 telegraf 抓取后直接存到 elasticsearch。如果数据量很大、elasticsearch 的写操作出现瓶颈，可以在 elasticsearch前加 kafka 和 logstash。

2. 数据抓取
　　heapster：用于抓取 kubernetes 容器监控数据，直接存到elasticsearch（也支持存到kafka等其它地方）；
　　telegraf：用于抓取非容器的其它监控数据，它的插件很多，几乎涵盖了各种数据源。

3. 数据存储和搜索
　　elasticsearch 集群，我采用的是两台虚拟机；

4. 告警
　　我采用的是 elastic x-pack中的 watch：
　　https://www.elastic.co/guide/en/x-pack/current/how-watcher-works.html
　　目前 watch的action只支持 email、webhook、index、loggin、hipchat、slack、pagerduty、jira。如果想执行一个外部脚本，比如：shell、python、perl脚本，可以将这些脚本集成到一台 restful web service服务器中，watch 便能够通过 webhook 方式调用。
　　watch 的搜索、状态判断、数据转换部分都支持一种 plainless script 语言，比 一般的方式更灵活、功能更强：
　　https://www.elastic.co/guide/en/elasticsearch/painless/master/painless-specification.html

5. 展示
　　grafana 的效果非常好，支持 elasticsearch。

附：x-pack watch 例子
　　下面的 watch 用于监控 k8s nodes 的可用磁盘容量，如果任意一台node的可用磁盘容量低于5G，或者2分钟内获取不到监控数据，watch就会发送短信和邮件报警。
　　我是把上述功能写到两个watch里，你也可以研究更好的方法精简这两个watch。
　　

PUT _xpack/watcher/watch/k8s_node_filesystem_available_evaluate　　
{
"trigger" : { "schedule" : { "interval" : "10s" }},"input" : {"search" : {"request" : {"indices" : ["<heapster-{now}>","<heapster-{now-1h}>"　　],
"body" : {"query" : {"bool" : {"must" : [　　{
"term": { "_type": "filesystem" }},　　{
"term": { "MetricsTags.resource_id": "/" }},　　{
"term": { "MetricsTags.type": "node" }}　　],
"filter" : [　　{
"range": { "Metrics.filesystem/available.value": {"lt": 5000000000}} },　　{
"range": {"FilesystemMetricsTimestamp": {"gte": "now-70s"}} }　　]
　　}
　　},
"aggs": {"group_by_host_id": {"terms": { "size": 20, "field": "MetricsTags.host_id" },"aggs" : {"group_by_available_value" : {"terms": { "script": "params['_source']['Metrics']['filesystem/available']['value']>0?params['_source']['Metrics']['filesystem/available']['value']/(1024*1024*1024):params['_source']['Metrics']['filesystem/available']['value']" }　　}
　　}
　　}
　　}
　　}
　　}
　　}
　　},
"condition" : {"compare" : { "ctx.payload.hits.total" : { "gt": 0 }}　　},
"throttle_period" : "60m","actions" : {"send_sms" : {"webhook" : {"method" : "POST","host" : "sms.kxjf.com","port" : 80,"path" : "/actions/sendsms","params" : {"phone": "1580000000","message": "【开鑫贷】报警:k8s nodes filesytem available:{{#ctx.payload.aggregations.group_by_host_id.buckets}}{{key}} {{group_by_available_value.buckets.0.key}}GB, {{/ctx.payload.aggregations.group_by_host_id.buckets}}"　　}
　　}
　　},
"send_email" : {"email" : {"to" : "AAAAAAA@kxjf.com","subject" : "【开鑫贷】报警:k8s nodes filesytem available","body" : "{{#ctx.payload.aggregations.group_by_host_id.buckets}}{{key}} {{group_by_available_value.buckets.0.key}}GB, {{/ctx.payload.aggregations.group_by_host_id.buckets}}"　　}
　　}
　　}
　　
}
　　

　　

PUT _xpack/watcher/watch/k8s_node_filesystem_hava_data　　
{
"trigger" : { "schedule" : { "interval" : "10s" }},"input" : {"search" : {"request" : {"indices" : ["<heapster-{now}>","<heapster-{now-1h}>"　　],
"body" : {"query" : {"bool" : {"must" : [　　{
"term": { "_type": "filesystem" }},　　{
"term": { "MetricsTags.resource_id": "/" }},　　{
"term": { "MetricsTags.type": "node" }},　　{
"exists": { "field": "Metrics.filesystem/available.value" }}　　],
"filter" : [　　{
"range": {"FilesystemMetricsTimestamp": {"gte": "now-130s"}} }　　]
　　}
　　},
"aggs": {"group_by_host_id": {"terms": { "size": 20, "field": "MetricsTags.host_id" }　　}
　　}
　　}
　　}
　　}
　　},
"condition" : {"script" : "if(ctx.payload.aggregations.group_by_host_id.buckets.length<12){ return true; } else{ return false;}"　　},
"transform" : {"script" : "List host_all = ['172.31.17.31','172.31.17.32','172.31.17.33','172.31.17.34','172.31.17.35','172.31.17.36','172.31.17.37','172.31.17.38','172.31.17.39','172.31.17.71','172.31.17.72','172.31.17.73']; List host_ids = []; for (int i = 0; i < ctx.payload.aggregations.group_by_host_id.buckets.length; ++i ){ host_ids.add(ctx.payload.aggregations.group_by_host_id.buckets.key); } List host_no_data = []; for(item in host_all){ if(!host_ids.contains(item)){ host_no_data.add(['key':item]); } } return ['host_no_data':host_no_data];"　　},
"throttle_period" : "60m","actions" : {"send_sms" : {"webhook" : {"method" : "POST","host" : "sms.kxjf.com","port" : 80,"path" : "/actions/sendsms","params" : {"phone": "1580000000","message": "【开鑫贷】报警:k8s nodes filesytem no data:{{#ctx.payload.host_no_data}}{{key}},{{/ctx.payload.host_no_data}}"　　}
　　}
　　},
"send_email" : {"email" : {"to" : "AAAAAAA@kxjf.com","subject" : "【开鑫贷】报警:k8s nodes filesytem no data","body" : "{{#ctx.payload.host_no_data}}{{key}},{{/ctx.payload.host_no_data}}"　　}
　　}
　　}
　　
}
　　

• 邮件告警信息
  

• 短信告警信息