このセクションでは、Google Distributed Cloud(GDC)エアギャップ アプライアンスのオブザーバビリティ プラットフォームの一部として、プラットフォーム管理者(PA)が利用できるシステム ロギング プロセスについて説明します。
オペレーション ログには、GDC で進行中のオペレーションを管理する際の条件、変更、アクションが記録されます。これらのログは、アプリケーションのテストとデバッグに役立ちます。
オブザーバビリティ パイプラインが稼働すると、プラットフォームは、任意のクラスタでデフォルトで実行されている GDC 標準コンポーネントから組織ログを自動的に収集します。これらのコンポーネントには、ネットワーク モニタリングなどのオペレーションを実行できるようにネットワーキングが含まれています。プロジェクトのアプリケーションとサービスの運用ログを収集してクエリし、データのオブザーバビリティを実現することもできます。
GDC は、カスタム リソースを使用してシステム ロギング プロセスを構成します。このセクションでは、プロジェクトのアプリケーションとサービスから運用ログを収集するために、プロジェクトに LoggingTarget カスタム リソースをデプロイしてロギング ターゲットを管理する方法について説明します。
ログの種類
PA は、組織全体の次の 2 種類のログをクエリできます。
監査ログ: 特権オペレーションに関するユーザーと管理者のアクティビティを記録し、GDC での監査とコンプライアンスの要件を満たすのに役立ちます。GDC オブザーバビリティは、ルート管理者、システム クラスタ、ハードウェア(ストレージとスイッチ)のすべてのアクセス アクティビティの監査ログを、ストレージを分離することなく、単一の監査ログストアに収集します。すべての監査ログは、テナント(IO/PA)ごとに論理的に分離された単一のインスタンス内で収集されます。
GDC は service_name フィールドを使用して、操作可能なコンポーネント ソースをフィルタします。IO と PA は、infra-obs プロジェクトの Project Grafana 閲覧者のロールを持つユーザー ID を使用して、/infra-obs/grafana Grafana インスタンスからこの情報を表示してクエリできます。一部の監査ログは platform-obs テナントに保存され、/platform-obs/grafana Grafana インスタンスに表示されます。
運用ログ: GDC 上のアプリケーションとサービスで進行中のオペレーションを管理する際に、条件、変更、アクションを記録します。これらのログは、デベロッパーやオペレーターがアプリケーションのテストとデバッグを行う際に役立ちます。すべての運用ログは、プロジェクト名前空間(tenant_id)で論理的に分離された単一の運用ログ Loki インスタンス内に収集されます。システムレベルのログは infra-obs と platform-obs の Namespace またはテナントにあり、ユーザー ワークロードは運用プロジェクトの Namespace にあります。
ログへのアクセスには個別の Grafana インスタンスがあり、システム運用ログには infra-obs/grafana と platform-obs/grafana があります。エンドユーザー ワークロードの運用ログには、{project_name}/grafana からアクセスできます。特定のプロジェクトの Project-Grafana 閲覧者ロールを持つユーザーは、そのプロジェクトの Grafana インスタンスと、その Grafana インスタンス内のログと指標にアクセスできます。GDC ユーザーは、プロジェクトの stdout と stderr を使用して、オブザーバビリティ ロギング パイプラインをデプロイし、Kubernetes コンテナによって生成されたオペレーション ログを収集できます。
GDC デプロイは、ルート管理者とシステム クラスタを持つ単一テナントです。ユーザー ワークロードもシステム クラスタにデプロイされます。GDC はアプライアンスとして提供されるため、IO ユーザーと PA ユーザーは、AO がアクセスできるプロジェクト レベルのログを除き、すべての監査ログと運用ログにアクセスできます。