本文档介绍如何将 Cloud Monitoring 与 Binary Authorization for GKE 集群配合使用。详细了解 GKE 集群日志记录和监控。
准备工作
如需查看 Binary Authorization for GKE 集群指标,您必须使用支持的环境:
- GKE on VMware 1.4 或更高版本
- GKE on Bare Metal 1.14 或更高版本。
如需使用 Cloud Monitoring,请务必填写用户集群配置文件的
stackdriver部分。
为 Binary Authorization 设置 Cloud Monitoring 查询
本部分介绍如何访问 Cloud Monitoring 并选择存储 GKE 集群日志的 Cloud Logging 项目。
在工作区组合框中,从用户集群配置的
stackdriver部分选择项目 ID。查看 Cloud Monitoring:
在 Google Cloud 控制台中,转到 Monitoring > Metrics Explorer 或使用以下按钮:
选择用于存储日志和指标的 Google Cloud 项目。您可以在用户集群配置文件的
stackdriver.projectID字段中找到该 Google Cloud 项目。点击查询编辑器。
在查询编辑器中输入查询。您可以在以下部分中找到 Binary Authorization for GKE 集群查询。
示例查询
本部分提供了示例 Monitoring Query Language (MQL) 查询,用于监控 Binary Authorization for GKE 集群指标。如需详细了解 MQL,请参阅 Monitoring Query Language 简介。
查询被拒绝的部署
如需查看 Binary Authorization Enforcer 拒绝的部署请求,请使用以下查询:
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_rejection_count'
| filter
(metric.error_type == 'no_error'
&& metric.name == 'binaryauthorization.googleapis.com')
查询系统故障
本部分介绍如何监控阻止 Binary Authorization for GKE 集群正常运行的系统故障。
如需监控系统故障,请使用以下查询:
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_rejection_count'
| filter
(metric.error_type == 'calling_webhook_error'
&& metric.name == 'binaryauthorization.googleapis.com')
对与 Binary Authorization 相关的网络钩子调用次数求和
如需查看与 Binary Authorization 相关的网络钩子调用总次数,请使用以下查询:
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_admission_duration_seconds'
| filter (metric.name == 'binaryauthorization.googleapis.com')
| align delta(1m)
| every 1m
| group_by []
| count