Geração de registros e monitoramento

Last reviewed 2024-04-19 UTC

Nesta seção, explicamos o funcionamento do Logging e do Monitoring no blueprint de aplicativos corporativos com relação aos aplicativos e à plataforma para desenvolvedores. A observabilidade do Google Cloud para GKE fornece serviços do Cloud Logging e do Cloud Monitoring para aplicativos de blueprint.

Por padrão, o código-fonte base nos modelos de aplicativo envia registros para stdout. Usar stdout é uma prática recomendada para aplicativos conteinerizados, porque stdout permite que a plataforma gerencie os registros desses aplicativos. O código do aplicativo é instrumentado com as bibliotecas de cliente do Prometheus para exportar métricas específicas do aplicativo. O GKE fornece métricas para cada aplicativo de modo automático, incluindo Kube State Metrics, uso de recursos, métricas de ouro de SRE e métricas de instância de banco de dados. Para a equipe da plataforma para desenvolvedores, a plataforma fornece métricas de infraestrutura, uso e tráfego entre aplicativos.

Armazenamento do Logging

As Operações do Cloud para GKE também permitem coletar registros de sistemas e aplicativos em buckets de geração centralizada de registros. O blueprint também inclui um projeto em cada pasta do ambiente que é usado para armazenar registros. O blueprint da base corporativa tem um projeto do Logging separado em que os Registros de auditoria do Cloud agregados de toda a organização do Google Cloud são exportados. Os tipos de registro mais importantes para os locatários também são separados por locatário. Por exemplo, um desenvolvedor de aplicativos que trabalha no aplicativo frontend pode receber acesso apenas a registros de contêiner e de pod de frontend e somente nos ambientes de desenvolvimento e de não produção.

A tabela a seguir lista os tipos de registro, os locais e a granularidade do controle de acesso.

Granularidade do controle de acesso Tipos de registro Local de armazenamento de registros

Plataforma para desenvolvedores

Registros da infraestrutura multilocatário

Projeto: eab-infra-cicd

Registros da fábrica de aplicativos

Projeto: eab-app-factory

Por ambiente

  • Plano de controle do cluster
  • Contêineres ou pods sem locatário

Projeto: eab-gke-{env}

Bucket: _Default

  • Recursos do Compute Engine usados pelo GKE
  • Tráfego do Cloud Service Mesh

Projeto: eab-gke-{env}

Por ambiente e por locatário

Contêineres ou pods de locatários

Projeto: eab-gke-{env}

Bucket: por locatário (escopo)

  • Sessões do Alloy DB
  • Outros recursos do locatário

Projeto: eab-app-{appname}-{env}

Por locatário

  • Builds de aplicativos
  • Implantações de aplicativos

Projeto: eab-app-cicd-{appname}

Monitoramento de aplicativos

A observabilidade do Google Cloud para GKE fornece painéis de monitoramento predefinidos para o GKE. O blueprint também ativa o Google Cloud Managed Service para Prometheus, que coleta métricas dos exportadores do Prometheus e permite consultar os dados globalmente usando PromQL. Com o PromQL, você pode usar ferramentas conhecidas, como painéis do Grafana e alertas baseados em PromQL. O Cloud Service Mesh está ativado para fornecer painéis no console do Google Cloud. Com isso, você pode analisar e solucionar problemas de interações entre serviços e em locatários. O blueprint também inclui um projeto para um escopo de métricas de monitoramento de vários projetos.

Monitoramento de ameaças e vulnerabilidades

O Security Command Center oferece insights sobre a postura geral de segurança do blueprint. O nível Premium do Security Command Center fornece o Container Threat Detection para cargas de trabalho ativas e baseadas em contêiner no GKE. O Web Security Scanner é usado para detectar vulnerabilidades nos serviços de Internet. Ele detecta vulnerabilidades rastreando um serviço HTTP e seguindo todos os links, começando pelo URL base. O Web Security Scanner executa o máximo possível de entradas de usuário e manipuladores de eventos.

A seguir