Informazioni di logging del controllo di integrità

Puoi ottenere i log dei controlli di integrità del bilanciamento del carico quando lo stato di integrità di un endpoint cambia. Puoi utilizzare i log controllo di integrità per quanto segue:

• Debug in tempo reale e risoluzione dei problemi relativi allo stato di integrità degli endpoint
• Ottenere visibilità sullo stato di integrità del tuo endpoint
• Finalità di audit e conformità

I controlli di integrità registrano le informazioni sulla transizione di integrità in Logging. Puoi abilitare o disabilitare il logging in base al controllo di integrità.

Per visualizzare i log controllo di integrità in Logging, devi assicurarti di non avere un'esclusione dei log applicabile ai controlli di integrità. Per istruzioni su come verificare che i log GCE Instance Group e Network Endpoint Group siano consentiti, consulta Filtri di esclusione.

Abilita e disabilita il logging

Questa sezione descrive come abilitare il logging per un controllo di integrità nuovo o esistente e come disabilitare il logging per un controllo di integrità esistente.

Abilita il logging per un nuovo controllo di integrità

gcloud compute health-checks create PROTOCOL HEALTH_CHECK_NAME \
    --enable-logging

resource "google_compute_health_check" "health_check_tcp_with_logging" {
  provider = google-beta

  name = "health-check-tcp"

  timeout_sec        = 1
  check_interval_sec = 1

  tcp_health_check {
    port = "22"
  }

  log_config {
    enable = true
  }
}

Abilita il logging su un controllo di integrità esistente

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
    --enable-logging

Disabilita il logging su un controllo di integrità esistente

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
    --no-enable-logging

visualizza i log

1. Per visualizzare i log, vai a Esplora log.

   I log del controllo di integrità sono indicizzati per gruppo di istanze o gruppo di endpoint di rete.

2. Per visualizzare tutti i log, nel menu Risorsa seleziona GCE Instance Group o Network Endpoint Group, a seconda del tipo di backend.

3. In alternativa, incolla quanto segue nel campo Query. Sostituisci PROJECT_ID con l'ID del progetto.

   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
   

Puoi configurare l'esportazione di metriche basate su log per i controlli di integrità del bilanciatore del carico.

Utilizza i filtri per visualizzare i log

Puoi anche visualizzare log basati su ricerche più specifiche. Ad esempio, il seguente filtro mostra tutti i log per l'indirizzo IP di un'istanza di backend specificata:

  logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.ipAddress="IP_ADDRESS"

I campi del log di tipo boolean vengono generalmente visualizzati solo se hanno il valore true. Se un campo booleano ha il valore false, questo campo viene omesso dal log.

La codifica UTF-8 viene applicata in modo forzato ai campi dei log. I caratteri che non sono UTF-8 vengono sostituiti da punti interrogativi.

Che cosa viene registrato

Le voci di log del controllo di integrità contengono informazioni utili per il monitoraggio e il debug dello stato degli endpoint. Le voci di log contengono i seguenti tipi di informazioni:

• Informazioni generali mostrate nella maggior parte dei log, come gravità, ID progetto, numero di progetto e timestamp.
• Campi specifici dei controlli di integrità, descritti nelle tabelle riportate di seguito.

Stati del controllo di integrità

Un endpoint viene considerato HEALTHY o UNHEALTHY. Questi sono gli stati di base. All'interno di ciascuno di questi stati di base, esistono diversi stati più dettagliati.

I NEG ibridi e i NEG internet a livello di regione che utilizzano controlli di integrità di Envoy distribuiti non supportano stati di integrità dettagliati.

La tabella seguente mostra la mappatura tra stato di integrità di base e stato dettagliato.

Le modifiche dello stato non sempre alterano il comportamento del bilanciatore del carico. Considera il seguente caso:

1. Il server sta fornendo la risposta sbagliata, quindi l'endpoint viene considerato UNHEALTHY.
2. Il server smette di rispondere e il nuovo stato è TIMEOUT.
3. Il bilanciatore del carico considera comunque l'endpoint UNHEALTHY perché lo stato dettagliato di TIMEOUT è mappato allo stato UNHEALTHY di base.

La tabella seguente fornisce una definizione di ogni stato di integrità.

Esistono più controlli di integrità che analizzano ogni endpoint; Google Cloud deduplica le voci di log prima del logging in modo che vengano generati solo log univoci.

Se un controllo di integrità si riavvia, a volte potresti vedere il cambiamento dello stato di integrità registrato da UNKNOWN a uno degli stati noti elencati in precedenza, anche se lo stato di integrità dell'endpoint non è effettivamente cambiato. Google Cloud utilizza euristica del "best effort" per eliminare queste voci di log.

Se utilizzi lo svuotamento della connessione, i log del controllo di integrità non vengono generati con lo stato di integrità dell'endpoint DRAINING. Questo perché i log del controllo di integrità riflettono i risultati osservati dai probe del controllo di integrità e lo svuotamento della connessione non influisce sui risultati osservati dal probe del controllo di integrità. Lo svuotamento della connessione funziona semplicemente informando il bilanciatore del carico che il nuovo stato è DRAINING e sostituisce in modo efficace il vero stato di integrità dell'endpoint osservato dal controllo di integrità.

Puoi interagire con i log utilizzando l'API Cloud Logging. L'API offre modalità per filtrare in modo interattivo i log con campi specifici impostati ed esportare i log corrispondenti in Cloud Logging, Cloud Storage, BigQuery o Pub/Sub. Per ulteriori informazioni sull'API Cloud Logging, consulta la panoramica dell'API Cloud Logging.

Voce di log del controllo di integrità

LogEntry jsonPayload viene compilato con un campo healthCheckProbeResult che contiene le seguenti informazioni.

Filtri di esempio

Questa sezione fornisce esempi di filtri di log comuni.

Trova tutti i risultati del controllo di integrità per un determinato gruppo di istanze

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"  AND
resource.type="gce_instance_group" AND
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"

Trovare tutti i risultati del controllo di integrità per un particolare NEG

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"  AND
resource.type="gce_network_endpoint_group" AND
resource.labels.network_endpoint_group_id="ENDPOINT_GROUP_ID"

Trova tutte le transizioni del controllo di integrità per l'indirizzo IP dell'istanza di backend 10.128.15.201

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.ipAddress="10.128.15.201"

Trova tutti gli endpoint che in precedenza erano in stato HEALTHY ma che ora sono TIMEOUT

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.previousDetailedHealthState="HEALTHY"
jsonPayload.healthCheckProbeResult.detailedHealthState="TIMEOUT"

Trova i log di integrità relativi a un intervallo di tempo specifico

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
timestamp>"2019-02-14T02:20:00.0Z"
timestamp<"2019-02-14T03:30:00.0Z"

Limitazioni

• I log vengono generati solo per la transizione di integrità degli endpoint.
• I controlli di integrità legacy non sono supportati.
• I pool di destinazione non sono supportati.
• I log non vengono generati se lo stato di integrità dell'endpoint è UNKNOWN.
• In caso di migrazioni delle VM, potresti non vedere alcuna voce di log generata durante la transizione dell'integrità dell'endpoint allo stato UNHEALTHY.
• I log non vengono generati quando vengono eliminati gli endpoint. Ad esempio, quando interrompi una VM.

Passaggi successivi

• Leggi le informazioni concettuali sui controlli di integrità.
• Crea un controllo di integrità.
• Scopri di più su Logging.