容器監控系統

隨着線上服務的全面docker化，對docker容器的監控就很重要了。SA的監控系統是物理機的監控，在一個物理機跑多個容器的情況下，我們是沒法從一個監控圖表裏面區分各個容器的資源佔用情況的。

爲了更好的監控容器運行情況，更重要的是爲了後續的容器動態調度算法需要的大量運行時數據的蒐集，經過調研後，基於CAdvisor + InfluxDB + Grafana搭建了這套容器監控系統。

1 容器監控方案選擇

在調研容器監控系統的時候，其實是有很多選擇的，比如docker自帶的docker stats命令，Scout，Data Dog，Sysdig Cloud，Sensu Monitoring Framework，CAdvisor等。

通過docker stats命令可以很方便的看到當前宿主機上所有容器的CPU，內存以及網絡流量等數據。但是docker stats命令的缺點就是統計的只是當前宿主機的所有容器，而獲取的監控數據是實時的，沒有地方存儲，也沒有報警功能。

通過docker stats命令可以很方便的看到當前宿主機上所有容器的CPU，內存以及網絡流量等數據。但是docker stats命令的缺點就是統計的只是當前宿主機的所有容器，而獲取的監控數據是實時的，沒有地方存儲，也沒有報警功能。

而Scout(鏈接：https://scoutapp.com/）、Sysdig Cloud，Data Dog雖然都提供了較完善的服務，但是它們都是託管的服務而且都收費，於是也不在考慮範圍之內。Sensu Monitoring Framework（鏈接：https://sensu.io/）集成度較高，也免費，但是部署過於複雜。最後，我們選擇了CAdvisor做容器監控工具。

CAdvisor谷歌出品，優點是開源產品，監控指標齊全，部署方便，而且有官方的docker鏡像。缺點是集成度不高，默認只在本地保存2分鐘數據。不過在調研之後發現可以加上InfluxDB存儲數據，對接Grafana展示圖表，比較便利地搭建好了容器監控系統，數據收集和圖表展示效果良好，對系統性能也幾乎沒有什麼影響。

2 容器資源監控-CAdvisor

2.1 部署與運行

CAdvisor是一個容器資源監控工具，包括容器的內存，CPU，網絡IO，磁盤IO等監控，同時提供了一個WEB頁面用於查看容器的實時運行狀態。CAdvisor默認存儲2分鐘的數據，而且只是針對單物理機。不過，CAdvisor提供了很多數據集成接口，支持InfluxDB，Redis，Kafka，Elasticsearch等集成，可以加上對應配置將監控數據發往這些數據庫存儲起來。

由於CAdvisor已經容器化，部署和運行很簡單，執行如下命令即可:

運行之後，就可以在瀏覽器打開http://ip:8080查看宿主機的容器監控數據了。

2.2 集成InfluxDB

如前面說到，CAdvisor默認只在本機保存最近2分鐘的數據，爲了持久化存儲數據和統一收集展示監控數據，需要將數據存儲到InfluxDB中。InfluxDB是一個時序數據庫，專門用於存儲時序相關數據，很適合存儲CAdvisor的數據。而且，CAdvisor本身已經提供了InfluxDB的集成方法，在啓動容器時指定配置即可。

我們使用了管理容器來管理CAdvisor，修改後的啓動配置如下。主要指定了存儲引擎爲InfluxDB，以及指定InfluxDB的HTTP API的地址(這裏用到了自建DNS的域名 influxdb.service.consul以避免暴露外部端口)，還有對應的數據庫和用戶名密碼。

{
    "binds": [
          "/:/rootfs:ro",
          "/var/run:/var/run:rw",
          "/sys:/sys:ro",
          "/home/docker/var/lib/docker/:/var/lib/docker:ro"
    ],
    "image": "forum-cadvisor",
    "labels": {
        "type": "cadvisor"
    },
    "command": " -docker_only=true -storage_driver=influxdb  -storage_driver_db=cadvisor  -storage_driver_host=influxdb.service.consul:8086  -storage_driver_user=testuser  -storage_driver_password=testpwd",
    "tag": "latest",
    "hostname": "cadvisor-{{lan_ip}}"
}

注意到我們使用了一個自己的forum-cadvisor鏡像來代替官方的cadvisor鏡像，這是爲了修復cadvisor一些問題以及基於管理方便性的考慮。

2.3 CAdvisor存在的問題

1）運行報錯問題

運行最新的CAdvisor容器的時候，發現容器有如下的錯誤日誌：

這個問題是因爲沒有安裝 findutils 工具導致的。

2）統計不到容器內存數據

Debian默認沒有開啓 CGroup Memory的支持，CAdvisor默認情況下無法統計到容器內存數據，需要修改GRUB啓動參數，修改文件/etc/default/grub，加入下面這行：

GRUB_CMDLINE_LINUX=" cgroup_enable=memory"

然後更新grub2重啓即可。

3）網絡流量監控數據錯誤問題

在CAdvisor上線一段時間後，順安發現容器的網絡數據跟實際情況不符，並查找資料後發現問題是因爲CAdvisor默認只統計第一個網卡的流量，而在我們的容器中是有多個overlay網絡的，需要統計容器中所有的網卡流量。於是我修改了CAdvisor統計網絡流量部分的代碼並重新編譯了一個版本在線上使用，修改的代碼在這裏。

最後，我們自定義的鏡像文件 forum-cadvisor.Dockerfile 是這樣的(src/cadvisor是修改後重新編譯的cadvisor可執行文件)：

2.4 CAdvisor原理簡介

CAdvisor運行時掛載了宿主機根目錄，docker根目錄等多個目錄，由此可以從中讀取容器的運行時信息。docker基礎技術有Linux namespace，Control Group(CGroup)，AUFS等，其中CGroup用於系統資源限制和優先級控制的。

宿主機的/sys/fs/cgroup/目錄下面存儲的就是CGroup的內容了，CGroup包括多個子系統，如對塊設備的blkio，cpu，內存，網絡IO等限制。Docker在CGroup裏面的各個子系統中創建了docker目錄，而CAdvisor運行時掛載了宿主機根目錄和 /sys目錄，從而CAdvisor可以讀取到容器的資源使用記錄。

比如下面可以看到容器b1f257當前時刻的CPU的使用統計。CGroup詳細介紹可以參見DOCKER基礎技術：LINUX CGROUP（鏈接https://coolshell.cn/articles/17049.html）

# cat /sys/fs/cgroup/cpu/docker/b1f25723c5c3a17df5026cb60e1d1e1600feb293911362328bd17f671802dd31/cpuacct.stat
user 95191
system 5028

而容器網絡流量CAdvisor是從/proc/PID/net/dev中讀取的，如上面的容器b1f257進程在宿主機的PID爲6748，可以看到容器所有網卡的接收和發送流量以及錯誤數等。CAdvisor定期讀取對應目錄下面的數據並定期發送到指定的存儲引擎存儲，而本地會默認存儲最近2分鐘的數據並提供UI界面查看。

# cat /proc/6748/net/dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
  eth0: 6266314     512    0    0    0     0          0         0    22787     292    0    0    0     0       0          0
  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
    lo: 5926805    5601    0    0    0     0          0         0  5926805    5601    0    0    0     0       0          0

3 容器監控數據存儲-InfluxDB

InfluxDB（鏈接：https://docs.influxdata.com/influxdb/v1.3/）是一個開源的分佈式時序數據庫，使用GO語言開發。特別適合用於時序類型數據存儲，CAdvisor蒐集的容器監控數據用InfluxDB存儲就很合適，而且CAdvisor本身就提供了InfluxDB的支持，集成起來非常方便。

由於線上服務都docker化了，所以InfluxDB我們也是選擇用容器來跑，通過容器管理系統統一管理。容器運行時的核心配置如下，主要掛載了數據庫目錄，以及配置了consul的服務註冊，這樣，CAdvisor由於和InfluxDB處於同一個overlay子網中，不需要再開放端口給外部訪問，CAdvisor直接通過influxdb.service.consul:8086即可連接到InfluxDB。

爲了存儲CAdvisor的數據，需要預先創建好數據庫並配置用戶名密碼以及相關權限。InfluxDB提供了一套influx的CLI，跟mysql client很相似。另外，InfluxDB的數據庫操作語言InfluxQL跟SQL語法也基本一致。進入InfluxDB容器，運行下面命令創建數據庫和用戶密碼並授權。

# influx
Connected to http://localhost:8086 version 1.3.5
InfluxDB shell version: 1.3.5
> create database cadvisor  ## 創建數據庫cadvisor
> show databases
name: databases
name
----
_internal
cadvisor
> CREATE USER testuser WITH PASSWORD 'testpwd' ## 創建用戶和設置密碼
> GRANT ALL PRIVILEGES ON cadvisor TO testuser ## 授權數據庫給指定用戶
> CREATE RETENTION POLICY "cadvisor_retention" ON "cadvisor" DURATION 30d REPLICATION 1 DEFAULT ## 創建默認的數據保留策略，設置保存時間30天，副本爲1

配置成功後，可以看到CAdvisor會通過InfluxDB的HTTP API自動創建好數據表，並將數據發送到InfluxDB存儲起來。

3.2 InfluxDB重要概念

influxdb有一些重要概念：database，timestamp，field key， field value， field set，tag key，tag value，tag set，measurement， retention policy ，series，point，下面簡要說明一下：

• database：數據庫，如之前創建的數據庫 cadvisor。InfluxDB不是CRUD數據庫，更像是一個CR-ud數據庫，它優先考慮的是增加和讀取數據而不是更新刪除數據的性能。

• timestamp：時間戳，因爲InfluxDB是時序數據庫，它的數據裏面都有一列名爲time的列，存儲記錄生成時間。如 rx_bytes 中的 time 列，存儲的就是時間戳。

• fields: 包括field key，field value和field set幾個概念。field key是字段名，在rx_bytes表中，字段名爲 value。field value是字段值，如 17858781633，1359398等。而field set是字段集合，由field key和field value構成，如rx_bytes中的字段集合如下：

value = 17858781633
value

• tags：包括tag key， tag value， tag set幾個概念。tag key是標籤名，在rx_bytes表中container_name，game，machine，namespace，type都是標籤。tag value就是標籤的值了。tag set就是標籤集合，由tag key和tag value構成。InfluxDB中標籤是可選的，不過標籤是有索引的。如果查詢中經常用的字段，建議設置爲標籤而不是字段。標籤相當於傳統數據庫中有索引的列。

• retention policy: 數據保留策略，cadvisor的保留策略爲cadvisor_retention，存儲30天，副本爲1。一個數據庫可以有多個保留策略。

• measurement：類似傳統數據看的表，是字段，標籤以及time列的集合。

• series：共享同一個retention policy，measurement以及tag set的數據集合。

3.3 InfluxDB的特色功能

InfluxDB作爲時序數據庫，相比傳統數據庫它有很多特色功能，比如獨有的一些特色函數和連續查詢功能。關於InfluxDB的更多詳細內容可以參見官方文檔。

1. 特色函數：有一些聚合類函數如FILL()用於填充數據, INTEGRAL()計算字段所覆蓋的曲面面積，SPREAD()計算表中最大與最小值的差值， STDDEV()計算字段標準差，MEAN()計算平均值, MEDIAN()計算中位數，SAMPLE()函數用於隨機取樣以及DERIVATIVE()計算數據變化比等。

2. 連續查詢：InfluxDB獨有的連續查詢功能可以定期的縮小取樣，就原數據庫的數據縮小取樣後存儲到指定的新的數據庫或者新的數據表中，在歷史數據統計整理時特別有用。

4 容器監控數據可視化-Grafana

通過CAdvisor蒐集容器的監控數據，存儲到InfluxDB中，接下來就剩數據可視化的問題了。畢竟，一個可視化的圖表可以很方便快速的看到容器的一些問題。圖表展示我選擇的是Grafana。

Grafana是一個開源的數據監控分析可視化平臺，支持多種數據源配置(支持的數據源包括InfluxDB，MySQL，Elasticsearch，OpenTSDB，Graphite等)和豐富的插件及模板功能，支持圖表權限控制和報警。

Grafana同樣也是以容器方式運行，容器啓動配置如下，主要是掛載了grafana的數據和日誌目錄，設置了管理員的密碼，並開放了8888端口作爲grafana的訪問端口：

啓動之後就可以在http://IP:8888/頁面去配置數據源了，一個示例如下:

配置完數據源，就可以添加Panel來實現數據可視化了。Grafana的圖表功能十分強大，在配置數據查詢語句的時候也是十分智能，會對數據源，數據表，數據字段自動提示，而且對InfluxDB的所有函數都有分類可以直接選取配置。需要注意的一點就是在配置字節類數據(比如網卡接收流量 rx_bytes 和 內存使用量 memory_usage)的時候單位要選 data(IEC)這個類別。

5 總結

使用CAdvisor+InfluxDB+Grafana構建容器資源監控系統，是可行而且是較爲簡便的方式。這三個組件全部以容器的方式運行，也符合我們線上服務皆爲容器的理念。目前已經全面上線該監控系統，運行正常，數據可視化效果良好。除了用於可視化監控之外，這些數據後續還會用於系統異常檢測算法和容器智能調度算法中。