In diesem Abschnitt wird beschrieben, wie Logging und Monitoring im Unternehmensanwendungs-Blueprint für die Entwicklerplattform und die Anwendungen funktionieren. Google Cloud Observability für GKE bietet Cloud Logging- und Cloud Monitoring-Dienste für Blueprint-Anwendungen.
Standardmäßig sendet der Basisquellcode in den Anwendungsvorlagen Logs an stdout
. Die Verwendung von stdout
ist eine Best Practice für containerisierte Anwendungen, da stdout
der Plattform die Verarbeitung der Anwendungslogs ermöglicht. Der Anwendungscode ist mit Prometheus-Clientbibliotheken instrumentiert, um anwendungsspezifische Messwerte zu exportieren.
GKE stellt automatisch Messwerte für jede Anwendung bereit, einschließlich Kube State Metrics, Ressourcenauslastung, SRE-Golden-Messwerte und Datenbankinstanz-Messwerte. Für das Entwicklerplattformteam bietet die Plattform Messwerte zu Infrastruktur, Nutzung und anwendungsübergreifendem Traffic.
Logging-Speicher
Mit Cloud Operations for GKE können Sie System- und Anwendungslogs auch in zentralen Log-Buckets erfassen. Der Blueprint enthält in jedem Umgebungsordner auch ein Projekt zum Speichern von Logs. Das Blueprint für Unternehmensgrundlagen hat ein separates Logging-Projekt, in das die aggregierten Cloud-Audit-Logs aus der gesamten Google Cloud-Organisation exportiert werden. Die von Mandanten am meisten benötigten Logtypen werden ebenfalls nach Mandanten getrennt. Beispiel: Ein Anwendungsentwickler, der an der Anwendung frontend
arbeitet, erhält möglicherweise nur Zugriff auf die Container- und Pod-Logs frontend
und nur in der Entwicklungs- und Nicht-Produktionsumgebung.
In der folgenden Tabelle sind die Logtypen, die Speicherorte und der Detaillierungsgrad der Zugriffssteuerung aufgeführt.
Detaillierungsgrad der Zugriffssteuerung | Logtypen | Logspeicherort |
---|---|---|
Entwicklerplattform |
Infrastrukturlogs für mehrere Mandanten |
Projekt: |
Application Factory-Logs |
Projekt: |
|
Nach Umgebung |
|
Projekt: Bucket:
|
|
Projekt: |
|
Nach Umgebung und Mandant |
Mandanten-Container oder -Pods |
Projekt: Bucket: pro Mandant (Bereich) |
|
Projekt: |
|
Nach Mandant |
|
Projekt: |
Anwendungsmonitoring
Google Cloud Observability für GKE bietet vordefinierte Monitoring-Dashboards für GKE. Der Blueprint aktiviert auch Google Cloud Managed Service for Prometheus, der Messwerte von Prometheus-Exportern erfasst und die Daten global mit PromQL abfragen kann. PromQL bedeutet, dass Sie vertraute Tools wie Grafana-Dashboards und PromQL-basierte Benachrichtigungen verwenden können. Cloud Service Mesh ist aktiviert, damit Sie Dashboards in der Google Cloud Console bereitstellen können, um Interaktionen zwischen Diensten und für alle Mandanten zu beobachten und Fehler zu beheben. Der Blueprint enthält auch ein Projekt für einen Monitoring-Messwertbereich für mehrere Projekte.
Bedrohungs- und Sicherheitslückenüberwachung
Das Security Command Center bietet einen Einblick in den allgemeinen Sicherheitsstatus des Blueprints. Die Premium-Stufe von Security Command Center bietet Container Threat Detection für aktive containerbasierte Arbeitslasten in GKE. Web Security Scanner wird verwendet, um Sicherheitslücken in Ihren mit dem Internet verbundenen Diensten zu erkennen. Web Security Scanner erkennt Sicherheitslücken, indem er einen HTTP-Dienst durchsucht und beginnend mit der Basis-URL allen Links folgt. Web Security Scanner führt dann so viele Nutzereingaben und Event-Handler wie möglich aus.
Wie geht es weiter?
- Vorgänge für die Entwicklerplattform und Anwendungen (nächstes Dokument in dieser Reihe).