本部分介绍了可供平台管理员 (PA) 使用的系统日志记录流程,这些流程是 Google Distributed Cloud (GDC) 气隙式设备的观测平台的一部分。
操作日志会记录您在 GDC 中管理正在进行的操作时的条件、更改和操作。这些日志有助于测试和调试应用。
可观测性流水线正常运行后,平台会自动从默认在任何集群中运行的 GDC 标准组件收集组织日志。这些组件包括网络,以便您可以执行网络监控等操作。您还可以从项目的应用和服务中收集和查询操作日志,以实现数据可观测性。
GDC 使用自定义资源来配置系统日志记录进程。如需从项目的应用和服务中收集操作日志,本部分将介绍如何在项目中部署 LoggingTarget 自定义资源并管理日志记录目标。
日志类型
PA 可以查询整个组织的两种类型的日志:
审核日志:这些日志会记录用户和管理员在特权操作方面的活动,有助于您在 GDC 上实现审核和合规性要求。GDC 可观测性在一个审核日志存储区中收集根管理员、系统集群和硬件(存储和交换机)中的所有访问活动的审核日志,而无需在存储方面进行任何分离。所有审核日志都收集在单个实例中,该实例按租户 (IO/PA) 进行逻辑分离。
GDC 使用 service_name 字段来过滤可操作的组件来源。IO 和 PA 可以通过具有 infra-obs 项目的 Project Grafana Viewer 角色的用户身份,从 /infra-obs/grafana Grafana 实例查看和查询此信息。部分审核日志会保存到 platform-obs 租户中,并显示在 /platform-obs/grafana Grafana 实例中。
操作日志:记录您在 GDC 上管理应用和服务中的持续运行操作时的状况、变更和操作。这些日志可帮助开发者和运营商测试和调试应用。所有操作日志都收集在单个操作日志 Loki 实例中,该实例按项目命名空间 (tenant_id) 进行逻辑分离。系统级日志位于 infra-obs 和 platform-obs 命名空间或租户中,而用户工作负载位于运营项目命名空间中。
您可以使用单独的 Grafana 实例来访问日志,infra-obs/grafana 用于访问系统运行日志,platform-obs/grafana 用于访问其他日志。最终用户工作负载的运营日志可从 {project_name}/grafana 中访问。如果用户对特定项目具有 Project-Grafana Viewer 角色,则可以访问该项目的 Grafana 实例以及该 Grafana 实例中的任何日志和指标。GDC 用户可以部署可观测性日志记录流水线,以使用项目中的 stdout 和 stderr 收集 Kubernetes 容器生成的操作日志。
GDC 部署是单租户部署,具有根管理员和系统集群。用户工作负载也部署在系统集群中。由于 GDC 以设备形式提供,因此 IO 和 PA 用户可以访问所有审核日志和操作日志,但 AO 可以访问项目级日志。