이 문서에서는 GKE 클러스터의 Binary Authorization을 위해 Cloud Monitoring을 사용하는 방법을 설명합니다. GKE 클러스터 로깅 및 모니터링에 대해 자세히 알아보세요.
시작하기 전에
GKE 클러스터의 Binary Authorization 측정항목을 보려면 지원되는 환경을 사용해야 합니다.
- Google Distributed Cloud 1.4 이상
- Google Distributed Cloud 1.14 이상
Cloud Monitoring을 사용하려면 사용자 클러스터 구성 파일의
stackdriver
섹션이 채워져 있는지 확인합니다.
Binary Authorization에 대해 Cloud Monitoring 설정
이 섹션에서는 Cloud Monitoring에 액세스하고 GKE 클러스터 로그를 저장할 Cloud Logging 프로젝트를 선택하는 방법을 보여줍니다.
작업공간 콤보 상자에서 사용자 클러스터 구성의
stackdriver
섹션에서 프로젝트 ID를 선택합니다.Cloud Monitoring 보기
Google Cloud Console에서 Monitoring > 측정항목 탐색기로 이동하거나 다음 버튼을 사용합니다.
로그 및 측정항목 저장을 위해 사용할 Google Cloud 프로젝트를 선택합니다. 사용자 클러스터 구성 파일의
stackdriver.projectID
필드에서 Google Cloud 프로젝트를 찾을 수 있습니다.쿼리 편집기를 클릭합니다.
쿼리 편집기에 쿼리를 입력합니다. 다음 섹션에서는 GKE 클러스터의 Binary Authorization 쿼리를 찾을 수 있습니다.
쿼리 예시
이 섹션에서는 GKE 클러스터의 Binary Authorization 측정항목을 모니터링하기 위해 사용할 수 있는 예시 모니터링 쿼리 언어(MQL) 쿼리를 제공합니다. MQL에 대해 자세히 알아보려면 모니터링 쿼리 언어 소개를 참조하세요.
거부된 배포 쿼리
Binary Authorization 시행자가 거부한 배포 요청을 보려면 다음 쿼리를 사용합니다.
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_rejection_count'
| filter
(metric.error_type == 'no_error'
&& metric.name == 'binaryauthorization.googleapis.com')
시스템 장애 쿼리
이 섹션에서는 GKE 클러스터의 Binary Authorization 정상 운영을 방해하는 시스템 장애를 모니터링하는 방법을 설명합니다.
시스템 장애를 모니터링하려면 다음 쿼리를 사용합니다.
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_rejection_count'
| filter
(metric.error_type == 'calling_webhook_error'
&& metric.name == 'binaryauthorization.googleapis.com')
Binary Authorization과 관련된 웹훅 호출 수 요약
Binary Authorization과 관련된 총 웹훅 호출 수를 보려면 다음 쿼리를 사용합니다.
fetch k8s_container::'kubernetes.io/anthos/apiserver_admission_webhook_admission_duration_seconds'
| filter (metric.name == 'binaryauthorization.googleapis.com')
| align delta(1m)
| every 1m
| group_by []
| count