Ve registros de GKE


En esta página, se proporciona una descripción general de cómo encontrar y usar los registros de Google Kubernetes Engine (GKE).

Accede a tus registros

Puedes acceder a los registros de GKE de muchas maneras:

  • En la consola de Google Cloud, puedes ver los registros de las siguientes páginas:

    • Kubernetes Engine:

      • Selecciona un clúster en la página Clústeres y, luego, la pestaña Registros. En esta pestaña, también se ofrecen consultas sugeridas para los registros del clúster.
      • Selecciona una carga de trabajo en la página Carga de trabajo. Luego, puedes hacer clic en los vínculos Registros de contenedor o Registros de auditoría en la pestaña Descripción general para ver tus registros en el Explorador de registros o selecciona la pestaña Registros para ver tus registros en contexto.
    • Logging: selecciona Explorador de registros y, luego, usa filtros de registro para seleccionar los recursos de Kubernetes, como clústeres, nodos, espacio de nombres, Pod o registros de contenedores. Si quieres ver ejemplos de consultas que te ayudarán a comenzar, consulta Consultas relacionadas con Kubernetes.

  • En Google Cloud CLI: consulta los registros de los clústeres, los nodos, los Pods y los contenedores mediante el comando gcloud logging read.

Para la agregación de registros personalizados, las estadísticas de registros o la integración en sistemas de terceros, también puedes usar la función de receptores de registros a fin de exportar registros a BigQuery, Cloud Storage y Pub/Sub.

Obtén información sobre tus registros

Un registro en Cloud Logging es una colección de entradas de registro y cada una se aplica a un tipo determinado de recurso de registro.

Tipos de recursos

Estos son los tipos de recursos específicos de los clústeres de GKE:

Tipos de recursos de registro
gke_cluster Registros de operaciones del clúster de GKE
k8s_cluster Registros del clúster de Kubernetes
k8s_node Registros de nodos de Kubernetes
k8s_pod Registros de Pods de Kubernetes
k8s_container Registros de contenedores de Kubernetes
k8s_control_plane_component Registros de componentes del plano de control de Kubernetes

Cuando GKE escribe los registros de tu clúster, cada entrada de registro incluye el tipo de recurso. Comprender dónde aparecen tus registros facilita su búsqueda cuando los necesitas.

Registros del sistema

Los registros del sistema incluyen registros de las siguientes fuentes:

  • Todos los Pods que se ejecutan en los espacios de nombres kube-system, istio-system, knative-serving, gke-system y config-management-system

  • Servicios clave que no están alojados en contenedores, incluidos el entorno de ejecución docker/containerd, kubelet, kubelet-monitor, node-problem-detector y kube-container-runtime-monitor

  • La salida de los puertos en serie del nodo, si los metadatos de la instancia de VM serial-port-logging-enable se configuran como verdaderos A partir de GKE 1.16-13-gke.400, el agente de Logging recopila la salida del puerto en serie para los nodos. Para inhabilitar el registro de salidas de puertos en serie, configura --metadata serial-port-logging-enable=false durante la creación del clúster. El resultado de los puertos en serie es útil para solucionar fallas, inicios fallidos, problemas de inicio o de apagado con nodos de GKE. Si inhabilitas estos registros, podrías limitar la solución de problemas.

Los registros de auditoría del sistema aparecerán en Cloud Logging con los siguientes nombres:

  • projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access – Registros de acceso de datos
  • projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity - Registros de actividad del administrador
  • projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event: Registros de eventos del sistema
  • projects/PROJECT_ID/logs/events – Registros de eventos

Para obtener más información sobre las entradas de registro que se aplican a los tipos de recursos de las operaciones con clústeres de Kubernetes y de GKE, consulta la documentación sobre registros de auditoría.

Existen registros del sistema adicionales, como los de kube-system, que se describen en Controla la recopilación de registros de la aplicación.

Registros de la aplicación

Los contenedores de Kubernetes recopilan registros para las cargas de trabajo escritas en STDOUT y STDERR. Puedes encontrar los registros de tu aplicación de carga de trabajo mediante los tipos de recursos k8s_container o gke_cluster. Los registros aparecerán en Logging con estos nombres:

  • projects/PROJECT_ID/logs/stderr – Registros escritos en el error estándar

  • projects/PROJECT_ID/logs/stdout – Registros escritos en el error estándar

Registros de componentes del plano de control

Si los registros del plano de control están habilitados para tu clúster de GKE, los registros emitidos por ciertos componentes del plano de control de Kubernetes (por ejemplo, el servidor de la API, el programador y el administrador de controladores) se exportan a Cloud Logging.

Estos registros usan el tipo de recurso k8s_control_plane_component y aparecen en Cloud Logging con los siguientes nombres:

  • projects/PROJECT_ID/logs/container.googleapis.com%2Fapiserver

  • projects/PROJECT_ID/logs/container.googleapis.com%2Fscheduler

  • projects/PROJECT_ID/logs/container.googleapis.com%2Fcontroller-manager

Registros de acceso del plano de control

Si usas la autoridad del plano de control de GKE, puedes habilitar los registros opcionales para todas las conexiones de red entrantes a las instancias del plano de control y cuando se producen eventos de SSH en tus instancias del plano de control. Luego, puedes correlacionar estos registros de acceso del plano de control con los registros de la Transparencia de acceso y con los registros del servidor de la API de Kubernetes para verificar de manera opcional que las conexiones a tus instancias del plano de control sean el resultado de un acceso administrativo autorizado por el personal de Google. Para obtener más información, consulta Cómo verificar las conexiones de Google con el plano de control del clúster.

Estos registros usan el tipo de recurso gke_cluster y aparecen en Cloud Logging con los siguientes nombres:

  • projects/PROJECT_ID/logs/container.googleapis.com%2Fkcp_connection
  • projects/PROJECT_ID/logs/container.googleapis.com%2Fkcp_ssh

Registros de emisión de identidades del clúster

Si usas la autoridad del plano de control de GKE para ejecutar tus propias autoridades certificadoras (AC) y claves de firma para tu clúster, GKE genera registros de auditoría para cuando se usan esas AC y claves para emitir certificados X.509 o tokens web JSON (JWT) en tu clúster. Luego, puedes correlacionar estos registros de emisión de identidad con los registros del servidor de la API de Kubernetes, de Certificate Authority Service y de Cloud Key Management Service para hacer un seguimiento del uso de esos certificados y JWT en tu clúster. Para obtener más información, consulta Cómo verificar el uso y la emisión de identidades.

Estos registros son registros de auditoría de eventos del sistema que usan el tipo de recurso gke_cluster y aparecen en Cloud Logging con el siguiente nombre:

  • projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event

Busca tus registros en la interfaz de usuario de Logging

Puedes ver tus registros con el Explorador de registros en la interfaz de usuario de Logging.

Explorador de registros

Con el compilador de consultas, puedes compilar una consulta a través de la selección de campos en un menú desplegable o a través del agregado de parámetros de consulta de forma manual. Por ejemplo, si revisas los registros de los clústeres de GKE, puedes comenzar a seleccionar o buscar el tipo de recursos del clúster de Kubernetes y, luego, seleccionar la ubicación y el nombre del clúster. Luego, puedes definir mejor la búsqueda si seleccionas los registros de actividad en el selector Nombre del registro.

El explorador de registros ofrece una forma adicional de compilar consultas de búsqueda mediante el Explorador del campo de registro. Muestra el recuento de entradas de registro, ordenadas de forma descendente, para el campo de registro dado. Usar el Explorador del campo de registro es útil sobre todo para los registros de GKE, ya que el Explorador del campo de registro proporciona una manera fácil de seleccionar los valores de Kubernetes de tus recursos a fin de compilar una consulta. Por ejemplo, mediante el Explorador del campo de registro, puedes seleccionar los registros de un clúster específico, un espacio de nombres, un nombre de Pod y, luego, el nombre del contenedor.

Puedes obtener más detalles en la documentación de Logging sobre el uso del explorador de registros.

Consultas de muestra

Si buscas registros específicos, usa las siguientes consultas de muestra para ayudarte a encontrar los registros de GKE:

Soluciona problemas de registros

Si escribes un gran volumen de registros desde tu clúster de GKE, es posible que encuentres, de manera coherente, que muchos de esos registros no aparecen en Cloud Logging. Una posible causa es que el volumen de registro supera la capacidad de procesamiento de registro compatible con GKE.

Logging admite hasta 100 KB/s por nodo de capacidad de procesamiento de registro. Si alguno de los nodos de tu clúster de GKE requiere una capacidad de procesamiento de registro mayor que esta, te recomendamos aumentar la capacidad de procesamiento del agente de registro.