Cette section décrit le fonctionnement de la journalisation et de la surveillance dans le plan d'application d'entreprise pour la plate-forme des développeurs et les applications. Google Cloud Observability pour GKE fournit les services Cloud Logging et Cloud Monitoring pour les applications de plan.
Par défaut, le code source de base des modèles d'application envoie des journaux à stdout. Il est recommandé d'utiliser stdout pour les applications conteneurisées, car stdout permet à la plate-forme de gérer les journaux d'application. Le code d'application est instrumenté avec les bibliothèques clientes Prometheus pour l'export des métriques spécifiques à l'application.
GKE fournit automatiquement des métriques pour chaque application, y compris celles de Kube State Metrics, l'utilisation des ressources, les métriques d'or SRE et les métriques d'instance de base de données. Pour l'équipe chargée de la plate-forme de développement, la plate-forme fournit des métriques sur l'infrastructure, l'utilisation et le trafic inter-applications.
Stockage Logging
Cloud Operations pour GKE vous permet également de collecter les journaux système et d'application dans des buckets de journaux centraux. Le plan inclut également un projet dans chaque dossier d'environnement, utilisé pour stocker les journaux. L'infrastructure de base de l'entreprise dispose d'un projet de journalisation distinct dans lequel les journaux Cloud Audit Logs agrégés pour l'ensemble de l'organisation Google Cloud sont exportés. Les types de journaux les plus demandés par les locataires sont également séparés par locataire. Par exemple, un développeur d'applications qui travaille sur l'application frontend peut se voir accorder l'accès uniquement aux journaux des conteneurs frontend et aux journaux des pods, et uniquement dans les environnements de développement et hors production.
Le tableau suivant répertorie les types de journaux, les emplacements et la précision du contrôle des accès.
| Précision du contrôle des accès | Types de journaux | Emplacement de stockage des journaux |
|---|---|---|
Plate-forme pour les développeurs |
Journaux d'infrastructure mutualisés |
Projet : |
Journaux de la fabrique d'applications |
Projet : |
|
Par environnement |
|
Projet : Bucket :
|
|
Projet : |
|
Par environnement et locataire |
Conteneurs ou pods de locataire |
Projet : Bucket : par locataire (champ d'application) |
|
Projet : |
|
Par locataire |
|
Projet : |
Surveillance des applications
Google Cloud Observability pour GKE fournit des tableaux de bord de surveillance prédéfinis pour GKE. Le plan active également Google Cloud Managed Service pour Prometheus, qui collecte les métriques des exportateurs Prometheus et vous permet d'interroger les données à l'échelle mondiale à l'aide de PromQL. PromQL vous permet d'utiliser des outils familiers tels que les tableaux de bord Grafana et les alertes basées sur PromQL. Cloud Service Mesh est activé pour vous fournir des tableaux de bord dans la console Google Cloud afin d'observer et de résoudre les interactions entre les services et entre les locataires. Le modèle inclut également un projet pour un champ d'application des métriques de surveillance multiprojets.
Surveillance des menaces et des failles
Security Command Center fournit des informations sur la stratégie de sécurité globale du plan. Le niveau Premium de Security Command Center fournit Container Threat Detection pour les charges de travail actives basées sur des conteneurs dans GKE. Web Security Scanner permet de détecter les failles de vos services exposés sur Internet. Web Security Scanner détecte les failles en explorant un service HTTP et en suivant tous les liens, en commençant par l'URL de base. Web Security Scanner teste ensuite un maximum d'entrées utilisateur et de gestionnaires d'événements.
Étapes suivantes
- Découvrez les opérations à la fois pour la plate-forme de développeur et pour les applications (document suivant de cette série).