Questa pagina mostra come indagare e risolvere i problemi relativi al logging di GKE.
Log del cluster mancanti in Cloud Logging
Verifica che il logging sia abilitato nel progetto
Elenca i servizi abilitati:
gcloud services list --enabled --filter="NAME=logging.googleapis.com"
L'output seguente indica che il logging è abilitato per il progetto:
NAME TITLE logging.googleapis.com Cloud Logging API
(Facoltativo) Controlla i log nel visualizzatore log per determinare chi ha disabilitato l'API e quando:
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" protoPayload.response.services="logging.googleapis.com"
Se il logging è disabilitato, abilita il logging:
gcloud services enable logging.googleapis.com
Verifica che il logging sia abilitato sul cluster
Elenca i cluster:
gcloud container clusters list \ --project=PROJECT_ID \ '--format=value(name,loggingConfig.componentConfig.enableComponents)' \ --sort-by=name | column -t
Sostituisci quanto segue:
PROJECT_ID
: l'ID del tuo progetto Google Cloud.
L'output è simile al seguente:
cluster-1 SYSTEM_COMPONENTS cluster-2 SYSTEM_COMPONENTS;WORKLOADS cluster-3
Se il valore per il cluster è vuoto, il logging è disabilitato. Ad esempio,
cluster-3
in questo output ha il logging disabilitato.Abilita il logging del cluster se impostato su
NONE
:gcloud container clusters update CLUSTER_NAME \ --logging=SYSTEM,WORKLOAD \ --location=COMPUTE_LOCATION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.COMPUTE_LOCATION
: la località di Compute Engine per il tuo cluster.
Verifica che i nodi nei pool di nodi abbiano l'ambito di accesso di Cloud Logging
Uno dei seguenti ambiti è obbligatorio affinché i nodi scrivano log in Cloud Logging:
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/logging.admin
Controlla gli ambiti configurati su ciascun pool di nodi nel cluster:
gcloud container node-pools list --cluster=CLUSTER_NAME \ --format="table(name,config.oauthScopes)" \ --location COMPUTE_LOCATION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.COMPUTE_LOCATION
: la località di Compute Engine per il tuo cluster.
Esegui la migrazione dei carichi di lavoro dal vecchio pool di nodi a quello appena creato e monitora l'avanzamento.
Crea nuovi pool di nodi con l'ambito di logging corretto:
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ --location=COMPUTE_LOCATION \ --scopes="gke-default"
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.COMPUTE_LOCATION
: la località di Compute Engine per il tuo cluster.
Verifica che l'account di servizio del pool di nodi disponga di un ruolo con le autorizzazioni IAM corrette
L'account di servizio deve avere un ruolo contenente l'autorizzazione logging.logEntries.create
per creare log.
Trova l'account di servizio per ogni pool di nodi:
gcloud container node-pools list \ --cluster=CLUSTER_NAME \ --format="table(name,config.serviceAccount)" \ --location=COMPUTE_LOCATION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.COMPUTE_LOCATION
: la località di Compute Engine per il tuo cluster.
L'output è simile al seguente:
NAME SERVICE_ACCOUNT default-pool gke-cluster-sa@developer.gserviceaccount.com
Se il pool di nodi utilizza l'account di servizio Compute Engine predefinito, puoi descriverlo utilizzando il seguente comando. Come best practice, utilizza un account di servizio personalizzato con privilegi minimi per i pool di nodi. L'account di servizio Compute Engine predefinito contiene più delle autorizzazioni minime necessarie per eseguire i cluster.
gcloud compute project-info describe --format="table(defaultServiceAccount)"
Verifica che i ruoli IAM dispongano di autorizzazioni sufficienti.
Visualizza le autorizzazioni contenute nei ruoli concessi a un account di servizio specifico:
gcloud projects get-iam-policy PROJECT_ID \ --flatten="bindings[]" \ --filter="bindings.members=serviceAccount:SERVICE_ACCOUNT" \ --format="table[box](bindings.role)"
Concedi all'account di servizio un ruolo che contiene l'autorizzazione
logging.logEntries.create
. Puoi utilizzare un ruolo predefinito o creare un ruolo personalizzato.
Verifica che non siano state raggiunte le quote dell'API Cloud Logging
Verifica di non aver raggiunto le quote di scrittura dell'API per Cloud Logging.
Vai alla pagina Quote nella console Google Cloud.
Filtra la tabella per "API Cloud Logging".
Verifica di non aver raggiunto nessuna delle quote.