Logtail安装采集快速入门

DaemonSet模式

• 在DaemonSet模式中，Kubernetes集群确保每个节点（Node）只运行一个Logtail容器，用于采集当前节点内所有容器（Containers）的日志。

• 当新节点加入集群时，Kubernetes集群会自动在新节点上创建Logtail容器；当节点退出集群时，Kubernetes集群会自动销毁当前节点上的Logtail容器。通过DaemonSet的自动扩缩容机制以及标识型机器组，无需您手动管理Logtail实例。

Sidecar模式

• 在Sidecar模式中，每个容器组（Pod）运行一个Logtail容器，用于采集当前容器组（Pod）所有容器（Containers）的日志。不同Pod的日志采集相互隔离。

• 为了采集同一Pod中其他容器的日志文件，需要通过共享存储卷的方式来完成，即将同一份存储卷分别挂载到业务容器和Logtail容器。关于Sidecar方式采集容器日志的更多信息，请参见Sidecar日志采集介绍和Sidecar模式示例。存储卷的更多信息，请参见存储基础知识。

容器发现

• Logtail容器采集其他容器的日志，必须发现和确定哪些容器正在运行，这个过程称为容器发现。在容器发现阶段，Logtail容器不与Kubernetes集群的kube-apiserver进行通信，而是直接和节点上的容器运行时守护进程（Container Runtime Daemon）进行通信，从而获取当前节点上的所有容器信息，避免容器发现对集群kube-apiserver产生压力。

• Logtail支持通过Namespace名称、Pod名称、Pod标签、容器环境变量等条件指定或排除采集相应容器的日志。

容器文件路径映射

在Kubernetes集群中，因为Pod之间资源隔离，Logtail容器无法直接访问其他Pod中的容器的文件。但是，容器内的文件系统都是由宿主机的文件系统挂载形成，通过将宿主机根目录所在的文件系统挂载到Logtail容器，就可以访问宿主机上的任意文件，从而间接采集业务容器文件系统的文件。容器内文件路径与宿主机文件路径之间的关系被称为文件路径映射。

日志文件在当前容器内的路径是/log/app.log，假设映射后的宿主机路径是/var/lib/docker/containers/<container-id>/log/app.log。Logtail默认将宿主机根目录所在的文件系统挂载到自身的/logtail_host目录下，因此Logtail实际采集的文件路径为/logtail_host/var/lib/docker/containers/<container-id>/log/app.log。

容器运行时支持

• 支持引擎：

  • Docker

  • Containerd

• 存储驱动限制（仅Docker）：

  • 只支持Overlay、Overlay2。

  • 其他驱动：若使用非Overlay驱动，需将日志目录通过数据卷挂载为临时目录。

存储卷挂载方式

如果NAS以PVC的方式挂载到数据目录。

• 禁止使用：DaemonSet部署Logtail。

• 推荐使用：

  • 采集集群文本日志(Sidecar)：每个Pod部署独立Logtail容器

    适用场景：高隔离性需求、多租户环境。

  • 通过业务容器和Logtail容器共享PVC实现日志采集：独立部署Logtail服务。

    适用场景：集中式日志采集、资源优化。

日志文件路径规范

• 禁止使用软链接：

  • 错误配置：/var/log/app -> /mnt/nas/logs。

  • 正确配置：直接使用物理路径 /mnt/nas/logs。

• 挂载路径匹配规则：

  如果业务容器的数据目录通过数据卷（Volume）挂载， 采集路径必须≥挂载点路径。

  示例：

  1挂载点：/var/log/service
  2✅ 有效采集路径：/var/log/service 或 /var/log/service/subdir
  3❌ 无效采集路径：/var/log （路径过短）

容器停止时的日志处理