In diesem Abschnitt werden die Systemprotokollierungsprozesse beschrieben, die Plattformadministratoren (Platform Administrators, PA) im Rahmen der Observability-Plattform der Air-Gap-Appliance von Google Distributed Cloud (GDC) zur Verfügung stehen.
In Betriebslogs werden Bedingungen, Änderungen und Aktionen aufgezeichnet, während Sie laufende Vorgänge in GDC verwalten. Diese Logs helfen beim Testen und Debuggen von Anwendungen.
Wenn die Observability-Pipeline ausgeführt wird, erfasst die Plattform automatisch Organisationslogs von GDC-Standardkomponenten, die standardmäßig in jedem Cluster ausgeführt werden. Diese Komponenten umfassen auch die Netzwerkfunktionen, mit denen Sie z. B. das Netzwerk überwachen können. Sie können auch Betriebslogs aus den Anwendungen und Diensten Ihres Projekts für die Datenbeobachtbarkeit erfassen und abfragen.
GDC verwendet eine benutzerdefinierte Ressource, um Systemprotokollierungsprozesse zu konfigurieren. In diesem Abschnitt wird beschrieben, wie Sie die benutzerdefinierte Ressource LoggingTarget in Ihrem Projekt bereitstellen und Logging-Ziele verwalten, um Betriebslogs von den Anwendungen und Diensten Ihres Projekts zu erfassen.
Protokolltypen
Die PA kann zwei Arten von Logs für die gesamte Organisation abfragen:
Audit-Logs: In diesen werden Nutzer- und Administratoraktivitäten bei privilegierten Vorgängen aufgezeichnet. Sie helfen Ihnen, die Audit- und Compliance-Anforderungen für GDC zu erfüllen. Bei der GDC-Beobachtbarkeit werden Audit-Logs für alle Zugriffsaktivitäten im Root-Administrator, in Systemclustern und in der Hardware (Speicher und Switches) in einem einzigen Audit-Log-Speicher ohne Trennung im Speicher erfasst. Alle Audit-Logs werden in einer einzigen Instanz erfasst, die logisch nach Mandant (IO/PA) getrennt ist.
GDC verwendet das Feld service_name, um nach der Quelle der bedienbaren Komponente zu filtern. Die IOs und PAs können diese Informationen über eine /infra-obs/grafana-Grafana-Instanz mit einer Nutzeridentität ansehen und abfragen, die die Rolle „Project Grafana Viewer“ für das Projekt infra-obs hat. Einige Audit-Logs werden im platform-obs-Mandanten gespeichert und sind in der /platform-obs/grafana-Grafana-Instanz sichtbar.
Betriebsprotokolle: Hier werden Bedingungen, Änderungen und Aktionen aufgezeichnet, während Sie laufende Vorgänge in Anwendungen und Diensten auf GDC verwalten. Diese Logs helfen Entwicklern und Betreibern beim Testen und Debuggen von Anwendungen. Alle Betriebslogs werden in einer einzelnen Betriebslog-Loki-Instanz erfasst, die durch den Projektnamespace (tenant_id) logisch getrennt ist. Protokolle auf Systemebene befinden sich im Namespace oder Mandanten infra-obs und platform-obs, während sich die Nutzerarbeitslasten in den Namespaces des Betriebsprojekts befinden.
Es gibt separate Grafana-Instanzen für den Zugriff auf Logs, infra-obs/grafana und platform-obs/grafana für Systembetriebslogs. Die Betriebsprotokolle für die Arbeitslast des Endnutzers sind über {project_name}/grafana zugänglich. Nutzer mit der Rolle „Project-Grafana Viewer“ für ein bestimmtes Projekt können auf die Grafana-Instanz dieses Projekts und alle Logs und Messwerte in dieser Grafana-Instanz zugreifen.
GDC-Nutzer können eine Observability-Logging-Pipeline bereitstellen, um Betriebslogs zu erfassen, die von Kubernetes-Containern generiert werden. Dazu verwenden sie stdout und stderr aus ihren Projekten.
GDC-Bereitstellungen sind Single-Tenant-Bereitstellungen mit einem Root-Administrator und einem Systemcluster. Nutzerarbeitslasten werden auch im Systemcluster bereitgestellt. Da GDC als Appliance angeboten wird, haben IO- und PA-Nutzer Zugriff auf alle Audit-Logs und Betriebslogs mit Ausnahme von Logs auf Projektebene, auf die der AO zugreifen kann.