ロギングとモニタリング

Last reviewed 2023-12-20 UTC

このセクションでは、エンタープライズ アプリケーション ブループリントにおいてロギングとモニタリングがデベロッパー プラットフォームとアプリケーションの両方に対してどのように機能するかを説明します。Google Cloud Observability for GKE には、ブループリント アプリケーション用の Cloud Logging サービスと Cloud Monitoring サービスが用意されています。

デフォルトで、アプリケーション テンプレートの基本ソースコードによってログが stdout に送信されます。stdout を使用するとプラットフォームでアプリケーション ログを処理できるため、stdout の使用はコンテナ化されたアプリケーションのベスト プラクティスに即しています。アプリケーション固有の指標をエクスポートするために、アプリケーション コードが Prometheus クライアント ライブラリで計測可能になります。GKE は、Kube 状態指標、リソース使用率、SRE ゴールデン指標、データベース インスタンス指標など、各アプリケーションの指標を自動的に提供します。デベロッパー プラットフォーム チーム向けには、インフラストラクチャ、使用状況、アプリケーション間トラフィックについての指標が提供されます。

ロギングのストレージ

Cloud Operations for GKE では、システムログとアプリケーション ログを中央のログバケットに収集することもできます。また、ブループリントの各環境フォルダには、ログの保存に使用されるプロジェクトが含まれます。エンタープライズ基盤ブループリントには独立したロギング プロジェクトがあり、そのプロジェクトで Google Cloud 組織全体から集約された Cloud Audit Logs のログがエクスポートされます。テナントに必要なログタイプもテナントごとに異なります。たとえば、frontend アプリケーションを担当するアプリケーション デベロッパーには、frontend コンテナログと Pod ログへのアクセスが開発環境と非本番環境でのみ許可されます。

次の表に、ログタイプ、保存場所、アクセス制御の粒度を示します。

アクセス制御の粒度 ログタイプ ログの保存場所

デベロッパー プラットフォーム

マルチテナント インフラストラクチャ ログ

プロジェクト: eab-infra-cicd

アプリケーション ファクトリー ログ

プロジェクト: eab-app-factory

環境別
  • ノード
  • クラスタ コントロール プレーン
  • 非テナントのコンテナまたは Pod

プロジェクト: eab-fleet-{env}

バケット: _Default
  • GKE で使用される Compute Engine リソース
  • Anthos Service Mesh のトラフィック

プロジェクト: eab-gke-{env}

環境とテナント別

テナントのコンテナまたは Pod

プロジェクト: eab-fleet-{env}

バケット: テナントごと(スコープ)
  • Alloy DB セッション
  • その他のテナント所有リソース

プロジェクト: eab-app-{appname}-{env}

テナント別
  • アプリケーションのビルド
  • アプリケーションのデプロイ

プロジェクト: eab-app-cicd-{appname}

アプリケーションのモニタリング

Google Cloud Observability for GKE には、GKE 用の事前定義されたモニタリング ダッシュボードが用意されています。このブループリントでは Google Cloud Managed Service for Prometheus も利用可能になります。これにより、Prometheus エクスポータから指標が収集され、PromQL を使用してグローバルにデータをクエリできます。PromQL では、Grafana ダッシュボードや PromQL ベースのアラートなどの使い慣れたツールを使用できます。Anthos Service Mesh では、Google Cloud コンソールのダッシュボードを使用して、サービス間およびテナント間のインタラクションをモニタリングし、トラブルシューティングできます。ブループリントには、マルチプロジェクト モニタリング指標スコープ用のプロジェクトも含まれます。

脅威と脆弱性のモニタリング

Security Command Center は、ブループリントの全体的なセキュリティ対策に関する分析情報を提供します。Security Command Center Premium ティアは、GKE 内のアクティブなコンテナベース ワークロードに Container Threat Detection を提供します。Web Security Scanner は、インターネットに接続するサービスの脆弱性を検出するために使用されます。Web Security Scanner は、HTTP サービスをクロールし、ベース URL からすべてのリンクを追跡することで、脆弱性を検出します。その後、Web Security Scanner はできる限り多くのユーザー入力とイベント ハンドラを処理します。

次のステップ