Cette section décrit le fonctionnement de la journalisation et de la surveillance dans le plan d'application d'entreprise pour la plate-forme des développeurs et les applications. Google Cloud Observability pour GKE fournit les services Cloud Logging et Cloud Monitoring pour les applications de plan.
Par défaut, le code source de base des modèles d'application envoie des journaux à stdout
. L'utilisation de stdout
est une bonne pratique pour les applications en conteneur, car stdout
permet à la plate-forme de gérer les journaux d'application. Le code d'application est instrumenté avec les bibliothèques clientes Prometheus pour l'export des métriques spécifiques à l'application.
GKE fournit automatiquement des métriques pour chaque application, y compris des métriques Kube State, des métriques d'utilisation des ressources, des métriques de référence SRE et des métriques d'instance de base de données. Pour l'équipe chargée de la plate-forme de développement, cette plate-forme fournit des métriques d'infrastructure, d'utilisation et de trafic interapplications.
Stockage Logging
Cloud Operations pour GKE vous permet également de collecter les journaux système et d'application dans des buckets de journaux centraux. Le plan inclut également un projet dans chaque dossier d'environnement, utilisé pour stocker les journaux. L'infrastructure de base de l'entreprise dispose d'un projet de journalisation distinct dans lequel les journaux Cloud Audit Logs agrégés pour l'ensemble de l'organisation Google Cloud sont exportés. Les types de journaux les plus nécessaires aux locataires sont également séparés par locataire. Par exemple, un développeur d'applications qui travaille sur l'application frontend
peut se voir accorder l'accès uniquement aux journaux des conteneurs frontend
et aux journaux des pods, et uniquement dans les environnements de développement et hors production.
Le tableau suivant répertorie les types de journaux, les emplacements et la précision du contrôle des accès.
Précision du contrôle des accès | Types de journaux | Emplacement de stockage des journaux |
---|---|---|
Plate-forme pour les développeurs |
Journaux d'infrastructure mutualisée |
Projet : |
Journaux de fabrique d'applications |
Projet : |
|
Par environnement |
|
Projet : Bucket :
|
|
Projet : |
|
Par environnement et locataire |
Conteneurs ou pods locataires |
Projet : Bucket : par locataire (champ d'application) |
|
Projet : |
|
Par locataire |
|
Projet : |
Surveillance des applications
Google Cloud Observability pour GKE fournit des tableaux de bord de surveillance prédéfinis pour GKE. Le plan active également Google Cloud Managed Service pour Prometheus, qui collecte les métriques des exportateurs Prometheus et vous permet d'interroger les données à l'échelle mondiale à l'aide de PromQL. PromQL signifie que vous pouvez utiliser des outils familiers tels que les tableaux de bord Grafana et les alertes basées sur PromQL. Anthos Service Mesh est activé pour vous fournir des tableaux de bord dans la console Google Cloud afin d'observer et de résoudre les interactions entre les services et entre les locataires. Le plan inclut également un projet pour un champ d'application des métriques de surveillance multiprojets.
Surveillance des menaces et des failles
Security Command Center fournit des informations sur la stratégie de sécurité globale du plan. Le niveau Premium de Security Command Center fournit Container Threat Detection pour les charges de travail actives basées sur des conteneurs dans GKE. Web Security Scanner permet de détecter les failles dans vos services Internet. Web Security Scanner détecte les failles en explorant un service HTTP et en suivant tous les liens, à partir de l'URL de base. Web Security Scanner applique ensuite autant d'entrées utilisateur et de gestionnaires d'événements que possible.
Étapes suivantes
- Découvrez les opérations pour la plate-forme et les applications de développeur (document suivant de cette série).