In diesem Abschnitt wird beschrieben, wie Logging und Monitoring im Unternehmensanwendungs-Blueprint für die Entwicklerplattform und die Anwendungen funktionieren. Google Cloud Observability für GKE bietet Cloud Logging- und Cloud Monitoring-Dienste für Blueprint-Anwendungen.
Standardmäßig sendet der Basisquellcode in den Anwendungsvorlagen Logs an stdout. Die Verwendung von stdout ist eine Best Practice für containerisierte Anwendungen, da die Plattform die Anwendungsprotokolle über stdout verwalten kann. Der Anwendungscode ist mit Prometheus-Clientbibliotheken instrumentiert, um anwendungsspezifische Messwerte zu exportieren.
GKE stellt automatisch Messwerte für jede Anwendung bereit, einschließlich Kube State Metrics, Ressourcenauslastung, SRE-Golden-Messwerte und Datenbankinstanz-Messwerte. Für das Entwicklerplattformteam bietet die Plattform Messwerte zu Infrastruktur, Nutzung und anwendungsübergreifendem Traffic.
Logging-Speicher
Mit Cloud Operations for GKE können Sie System- und Anwendungslogs auch in zentralen Log-Buckets erfassen. Der Blueprint enthält außerdem in jedem Umgebungsordner ein Projekt, das zum Speichern von Protokollen verwendet wird. Das Blueprint für Unternehmensgrundlagen hat ein separates Logging-Projekt, in das die aggregierten Cloud-Audit-Logs aus der gesamtenGoogle Cloud -Organisation exportiert werden. Die Protokolltypen, die von den Nutzern am häufigsten benötigt werden, werden ebenfalls nach Nutzer getrennt. Beispiel: Ein Anwendungsentwickler, der an der Anwendung frontend arbeitet, erhält möglicherweise nur Zugriff auf die Container- und Pod-Logs frontend und nur in der Entwicklungs- und Nicht-Produktionsumgebung.
In der folgenden Tabelle sind Protokolltypen, Speicherorte und die Zugriffssteuerungsgranularität aufgeführt.
| Detaillierte Zugriffssteuerung | Logtypen | Speicherort für Protokolle |
|---|---|---|
Entwicklerplattform |
Infrastrukturlogs für mehrere Mandanten |
Projekt: |
Application Factory-Protokolle |
Projekt: |
|
Nach Umgebung |
|
Projekt: Bucket:
|
|
Projekt: |
|
Nach Umgebung und Mandant |
Mandanten-Container oder -Pods |
Projekt: Bucket: pro Mandant (scope) |
|
Projekt: |
|
Nach Mieter |
|
Projekt: |
Anwendungsmonitoring
Google Cloud Observability für GKE bietet vordefinierte Monitoring-Dashboards für GKE. Der Blueprint aktiviert auch Google Cloud Managed Service for Prometheus, der Messwerte von Prometheus-Exportern erfasst und die Daten global mit PromQL abfragen kann. Mit PromQL können Sie vertraute Tools wie Grafana-Dashboards und PromQL-basierte Benachrichtigungen verwenden. Cloud Service Mesh ist aktiviert, damit Sie Dashboards in der Google Cloud Console bereitstellen können, um Interaktionen zwischen Diensten und für alle Mandanten zu beobachten und Fehler zu beheben. Der Blueprint enthält auch ein Projekt für einen Monitoring-Messwertbereich für mehrere Projekte.
Bedrohungs- und Sicherheitslückenüberwachung
Das Security Command Center bietet einen Einblick in den allgemeinen Sicherheitsstatus des Blueprints. Die Premium-Stufe von Security Command Center bietet Container Threat Detection für aktive containerbasierte Arbeitslasten in GKE. Web Security Scanner wird verwendet, um Sicherheitslücken in Ihren mit dem Internet verbundenen Diensten zu erkennen. Web Security Scanner erkennt Sicherheitslücken, indem er einen HTTP-Dienst durchsucht und beginnend mit der Basis-URL allen Links folgt. Der Web Security Scanner prüft dann so viele Nutzereingaben und Event-Handler wie möglich.
Wie geht es weiter?
- Weitere Informationen zu Vorgängen für die Entwicklerplattform und Anwendungen (nächstes Dokument in dieser Reihe)