Eine Möglichkeit, wie du VMware Log Insight installieren kannst, wenn du damit mehrere Umgebungen loggen möchtest, aber auf eine zentrale Auswertung nicht verzichten möchtest.
Vor gut 1 Jahr durfte ich mich mehr und mehr in eine doch etwas grössere Umgebung einleben, die vom Design her auf Pods setzt. Neben vielen Vorteilen hat dies aber auch seine Herausforderungen, was aber wiederum neue Möglichkeiten zeigt.
Eine Herausforderung war z.B. das Empfangen und Auswerten von Syslog Daten. Dazu wurde bereits VMware Log Insight eingesetzt. So hatte man pro Pod eine super Übersicht, aber es fehlte eine Übersicht über das grosse Ganze. Daraus entstand die Idee, neben dem Pod noch einen kompletten VMware Log Insight Cluster zentral zu bauen.
Das sieht dann wie folgt aus, wobei die Pod Umgebung beliebig wiederholt wird.
Die Logs werden mit dem integrierten Forwarder weiter an die Zentrale Umgebung geschickt. Damit diese voneinander unterschieden werden können, werden diese mit den Tags environment, pod_id und pod ergänzt.
Die Masse an Logs können einen VMware Log Insight Cluster extrem langsam machen. Genau das ist die Idee hinter der zentralen Umgebung. Während einer Analyse benötigt man selten Daten die älter sind als 14 Tage. In unserem Fall gönnen wir uns den Luxus von 30 Tagen. Sollte es darüber hinausgehen, sind wir in der Lage, direkt innerhalb vom Pod längere Daten bis zu 90 Tagen zu analysieren.
Seit der Version 8.1 werden sogenannte Partitions unterstützt. Dies hat den Vorteil, das verschiedene Logs mit anderen Datenspeicherungsfristen versehen werden können. Wer bereits mit grösseren Umgebungen und NSX zu tun hatte, weiss wovon ich spreche. Alleine die dfwlogs können schnell Mal vRLI in die Knie zwingen. Dafür habe ich mir auf jedem Cluster eine separate Partition erstellt mit reduzierten Fristen. So kann ich pro Pod ein optimales Ergebnis für die Performance erreichen und auch auf der zentralen Seite habe ich alle Daten vorhanden.
Nun kann man auch Alerts direkt auf der zentralen Seite erstellen. Sobald ein Pod neu erstellt wird, leitet man die Events direkt an die zentrale Seite weiter und wird direkt ins Alerting integriert. Änderungen müssen so nicht pro Pod gemacht werden, sondern bleiben zentral.
Einzig der Upgradeaufwand wird grösser, aber die Erfahrung der letzten Upgrades zeigt, dass VMware mit dem Upgradeprozess sehr schöne Arbeit geleistet hat. Hochladen der Pak und dann einfach warten und den Systemzustand überwachen.