監控及偵錯工作負載

建構、測試及執行工作負載時，監控進度有助於偵錯。您可以使用下列工具監控及偵錯：

• Cloud Logging：排解 Confidential Space 工作負載問題的第一步，是將 STDOUT 和 STDERR 重新導向至 Cloud Logging，然後檢查工作負載回傳代碼，找出發生失敗的位置。

• 偵錯 Confidential Space 映像檔：工作負載完成後，偵錯 Confidential Space 映像檔會讓執行工作負載的 Confidential VM 保持運作，並執行 SSH 伺服器。方便您遠端登入 VM，診斷問題。在確定程式碼運作正常前，建議使用偵錯映像檔。開始處理機密製作資料時，請切換至製作 Confidential Space 映像檔。

• 記憶體用量監控：您可以在 Cloud Logging 或 Metrics Explorer 中查看工作負載的記憶體用量。工作負載作者必須允許，且工作負載運算子必須啟用，系統才會追蹤記憶體用量。

• 互動式殼層：使用 SSH 連線至工作負載機密 VM 後，即可使用 sudo ctr task exec -t --exec-id shell tee-container bash 指令進入容器內的互動式殼層，診斷工作負載問題。

記錄

與任何指令列程式一樣，工作負載 STDOUT 和 STDERR 可以顯示在控制台中。工作負載運算子也可以在 Confidential Space VM 上將 tee-container-log-redirect 中繼資料鍵設為 true 或 cloud_logging，並確保執行工作負載的服務帳戶具有 logging.logWriter 角色，將記錄重新導向至 Cloud Logging。

工作負載作者可以使用log_redirect啟動政策，防止重新導向。

為降低風險，請記錄最少量的資訊，且不要記錄機密資訊。

查看 Confidential Space 記錄

如果已將 logging.logWriter 角色授予附加至機密空間 VM 的服務帳戶，並將記錄重新導向至 Cloud Logging，您就能查看 VM 的記錄，排解錯誤：

1. 前往Google Cloud 控制台中，工作負載運算子專案的「Logging」頁面。

   前往「Logging」(記錄)

2. 按一下「查詢」分頁旁邊的時間範圍，設定要查看的記錄時間範圍。

3. 如果記錄包含下列欄位，請依這些欄位篩選記錄：

   • 資源類型：VM 執行個體

   • 執行個體 ID：機密 VM 的執行個體 ID

   • 記錄檔名稱：confidential-space-launcher

4. 請詳閱失敗訊息，找出問題所在。資源可能未正確設定、資料協作者 WIP 供應商的屬性條件可能與 Confidential Space 工作負載提出的聲明不符，或是工作負載本身發生錯誤。

回傳代碼

執行啟動器和工作負載時，控制台會顯示回傳碼，並可重新導向至 Cloud Logging。

下表說明回傳代碼：

如果工作負載失敗，工作負載運算子只會收到訊息 workload finished with a non-zero return code，不會有其他背景資訊。如果是正式版映像檔，啟動器可以設為在失敗時重新啟動，方法是使用 tee-restart-policy=OnFailure。