Richiedi log del proxy

Cloud Service Mesh supporta due diversi tipi di log degli accessi in Cloud Logging: Log del traffico (anche noti come log di accesso di Google Cloud Observability) e Log di accesso di Envoy. In questa pagina viene spiegato come abilitare, disabilitare, visualizzare e interpretare questi log. Tieni presente che i log del traffico sono abilitate per impostazione predefinita.

Abilitazione e disabilitazione dei log degli accessi

cat <<EOF | kubectl apply -n istio-system -f -
apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: enable-envoy-disable-sd
  namespace: istio-system
spec:
  accessLogging:
  - providers:
      - name: envoy
  - providers:
      - name: stackdriver
    disabled: true
EOF

cat <<EOF | kubectl apply -n istio-system -f -
apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: disable-envoy-enable-sd
  namespace: istio-system
spec:
  accessLogging:
  - providers:
      - name: envoy
    disabled: true
  - providers:
      - name: stackdriver
EOF

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: "/dev/stdout"

Visualizzazione dei log di accesso

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-proxy

resource.type="k8s_container" \
resource.labels.container_name="istio-proxy"
resource.labels.cluster_name="CLUSTER_NAME" \
resource.labels.namespace_name="NAMESPACE_NAME" \
resource.labels.pod_name="POD_NAME"

{
  insertId: "1awb4hug5pos2qi"
  httpRequest: {
    requestMethod: "GET"
    requestUrl: "YOUR-INGRESS/productpage"
    requestSize: "952"
    status: 200
    responseSize: "5875"
    remoteIp: "10.8.0.44:0"
    serverIp: "10.56.4.25:9080"
    latency: "1.587232023s"
    protocol: "http"
  }
  resource: {
    type: "k8s_container"
    labels: {
      location: "us-central1-a"
      project_id: "YOUR-PROJECT"
      pod_name: "productpage-v1-76589d9fdc-ptnt9"
      cluster_name: "YOUR-CLUSTER-NAME"
      container_name: "productpage"
      namespace_name: "default"
    }
  }
  timestamp: "2020-04-28T19:55:21.056759Z"
  severity: "INFO"
  labels: {
    destination_principal: "spiffe://cluster.local/ns/default/sa/bookinfo-productpage"
    response_flag: "-"
    destination_service_host: "productpage.default.svc.cluster.local"
    source_app: "istio-ingressgateway"
    service_authentication_policy: "MUTUAL_TLS"
    source_name: "istio-ingressgateway-5ff85d8dd8-mwplb"
    mesh_uid: "YOUR-MESH-UID"
    request_id: "021ce752-9001-4ac6-b6d6-3b15f5d3632"
    destination_namespace: "default"
    source_principal:  "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account"
    destination_workload: "productpage-v1"
    destination_version: "v1"
    source_namespace: "istio-system"
    source_workload: "istio-ingressgateway"
    destination_name: "productpage-v1-76589d9fdc-ptnt9"
    destination_app: "productpage"
  }
  trace: "projects/YOUR-PROJECT/traces/d4197f59b7a43e3aeff3571bac99d536"
  receiveTimestamp: "2020-04-29T03:07:14.362416217Z"
  spanId: "43226343ca2bb2b1"
  traceSampled: true
  logName: "projects/YOUR-PROJECT/logs/server-accesslog-stackdriver"
  receiveTimestamp: "2020-04-28T19:55:32.185229100Z"
}

Interpretare la telemetria di Cloud Service Mesh

Le sezioni seguenti spiegano come controllare lo stato del mesh ed eseguire la revisione i vari dati di telemetria che contengono dettagli utili per aiutarti risoluzione dei problemi.

Interpretare le metriche del piano di controllo

Diagnosticare i ritardi di configurazione

Interpretare i log del traffico

Le seguenti informazioni spiegano come utilizzare i log del traffico per risolvere i problemi problemi di connessione. I log sul traffico sono abilitati per impostazione predefinita.

Cloud Service Mesh esporta i dati nei log del traffico che possono aiutarti a eseguire il debug i seguenti tipi di problemi:

• Flusso di traffico ed errori
• Routing delle richieste end-to-end

I log sul traffico sono abilitati per impostazione predefinita per le installazioni di Cloud Service Mesh su Google Kubernetes Engine. Puoi abilitare i log del traffico eseguendo di nuovo asmcli install. Utilizza le funzionalità di le stesse opzioni che hai installato inizialmente, ma ometti l'overlay personalizzato ha disabilitato Stackdriver.

Esistono due tipi di log di traffico:

• I log di accesso al server forniscono una vista lato server delle richieste. Si trovano in server-accesslog-stackdriver, collegato a k8s_container monitorato risorsa. Utilizza la seguente sintassi dell'URL per visualizza i log degli accessi lato server:

  https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver"&project=PROJECT_ID

• I log degli accessi client forniscono una vista lato client delle richieste. Si trovano nella sezione client-accesslog-stackdriver, collegato alla risorsa monitorata k8s_pod. Utilizza la seguente sintassi dell'URL per visualizzare i log dell'accesso lato client:

  https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/client-accesslog-stackdriver"&project=PROJECT_ID

I log di accesso contengono le seguenti informazioni:

• Proprietà delle richieste HTTP, come ID, URL, dimensioni, latenza e intestazioni comuni.
• Informazioni sui carichi di lavoro di origine e di destinazione, ad esempio nome, spazio dei nomi, identità ed etichette comuni.
• Informazioni sulla revisione e sul servizio canonico di origine e di destinazione.
• Se il tracciamento è abilitato, i log contengono informazioni di traccia, come campionamento, ID traccia e ID intervallo.

I log sul traffico possono contenere le seguenti etichette:

• route_name
• upstream_cluster
• X-Envoy-Original-Path

Ecco un esempio di voce di log:

{
  "insertId": "1j84zg8g68vb62z",
  "httpRequest": {
    "requestMethod": "GET",
    "requestUrl": "http://35.235.89.201:80/productpage",
    "requestSize": "795",
    "status": 200,
    "responseSize": "7005",
    "remoteIp": "10.168.0.26:0",
    "serverIp": "10.36.3.153:9080",
    "latency": "0.229384205s",
    "protocol": "http"
  },
  "resource": {
    "type": "k8s_container",
    "labels": {
      "cluster_name": "istio-e2e22",
      "namespace_name": "istio-bookinfo-1-68819",
      "container_name": "productpage",
      "project_id": "***",
      "location": "us-west2-a",
      "pod_name": "productpage-v1-64794f5db4-8xbtf"
    }
  },
  "timestamp": "2020-08-13T21:37:42.963881Z",
  "severity": "INFO",
  "labels": {
    "protocol": "http",
    "upstream_host": "127.0.0.1:9080",
    "source_canonical_service": "istio-ingressgateway",
    "source_namespace": "istio-system",
    "x-envoy-original-path": "",
    "source_canonical_revision": "latest",
    "connection_id": "32",
    "upstream_cluster": "inbound|9080|http|productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "requested_server_name": "outbound_.9080_._.productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_version": "v1",
    "destination_workload": "productpage-v1",
    "source_workload": "istio-ingressgateway",
    "destination_canonical_revision": "v1",
    "mesh_uid": "cluster.local",
    "source_principal": "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account",
    "x-envoy-original-dst-host": "",
    "service_authentication_policy": "MUTUAL_TLS",
    "destination_principal": "spiffe://cluster.local/ns/istio-bookinfo-1-68819/sa/bookinfo-productpage",
    "response_flag": "-",
    "log_sampled": "false",
    "destination_service_host": "productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_name": "productpage-v1-64794f5db4-8xbtf",
    "destination_canonical_service": "productpage",
    "destination_namespace": "istio-bookinfo-1-68819",
    "source_name": "istio-ingressgateway-6845f6d664-lnfvp",
    "source_app": "istio-ingressgateway",
    "destination_app": "productpage",
    "request_id": "39013650-4e62-9be2-9d25-78682dd27ea4",
    "route_name": "default"
  },
  "logName": "projects/***/logs/server-accesslog-stackdriver",
  "trace": "projects/***t/traces/466d77d15753cb4d7749ba5413b5f70f",
  "receiveTimestamp": "2020-08-13T21:37:48.758673203Z",
  "spanId": "633831cb1fda4fd5",
  "traceSampled": true
}

Puoi utilizzare questo log in diversi modi:

• Eseguire l'integrazione con Cloud Trace, una funzionalità facoltativa Cloud Service Mesh.
• Esporta i log del traffico in BigQuery, dove puoi eseguire query come la selezione di tutte le richieste richiede più di 5 secondi.
• Crea metriche basate su log.
• Risolvi i problemi relativi a 404 e 503

Risolvi i problemi relativi a 404 e 503

L'esempio seguente spiega come utilizzare questo log per risolvere i problemi quando non va a buon fine con un codice di risposta 404 o 503.

1. Nel log di accesso client, cerca una voce simile alla seguente:

   httpRequest: {
   requestMethod: "GET"
   requestUrl: "://IP_ADDRESS/src/Util/PHP/eval-stdin.php"
   requestSize: "2088"
   status: 404
   responseSize: "75"
   remoteIp: "10.168.0.26:34165"
   serverIp: "10.36.3.149:8080"
   latency: "0.000371440s"
   protocol: "http"
   }

2. Vai alle etichette nella voce di log di accesso. Trova il campo response_flag con un aspetto simile al seguente:

   response_flag: "NR"

   Il valore NR è l'acronimo di NoRoute, il che significa che non è stata trovata alcuna route per destinazione o non esisteva una catena di filtri corrispondente per un downstream connessione. Analogamente, puoi utilizzare l'etichetta response_flag per risolvere i problemi 503 errori.

3. Se visualizzi errori 503 nei log di accesso client e server, verifica che i nomi delle porte impostati per ogni servizio corrispondono al nome del protocollo in uso tra di loro. Ad esempio, se un client binario golang si connette a un server golang tramite HTTP, ma la porta è denominata http2, il protocollo non verrà negoziata automaticamente in modo corretto.

Per ulteriori informazioni, vedi dei flag di risposta.

Interpretare i log di accesso di Envoy

I passaggi seguenti spiegano come utilizzare i log di accesso di Envoy per visualizzare il traffico. tra entrambe le estremità di una connessione, per la risoluzione dei problemi.

I log di accesso di Envoy sono utili per diagnosticare problemi quali:

• Flusso di traffico ed errori
• Routing delle richieste end-to-end

I log di accesso a Envoy non sono abilitati per impostazione predefinita in Cloud Service Mesh e possono essere abilitato per i cluster in un mesh.

Puoi risolvere gli errori di connessione o di richiesta generando attività in alla tua applicazione che attiva una richiesta HTTP, quindi ispezionare i richiesta nei log di origine o di destinazione.

Se attivi una richiesta, che compare nei log del proxy di origine, questa indica che il reindirizzamento del traffico di iptables funziona correttamente e che Envoy il proxy gestisce il traffico. Se noti errori nei log, genera un file Envoy della configurazione e controlla la configurazione del cluster Envoy per assicurarti che risposta esatta. Se vedi la richiesta, ma il log non contiene errori, controlla la destinazione log del proxy.

Se la richiesta viene visualizzata nei log del proxy di destinazione, significa che il mesh funziona correttamente. Se viene invece visualizzato un errore, esegui un Envoy il dump della configurazione e verificare i valori corretti per la porta di traffico impostata la configurazione del listener.

Se il problema persiste dopo aver eseguito i passaggi precedenti, Envoy potrebbe impossibile negoziare automaticamente il protocollo tra il file collaterale e la sua applicazione pod. Assicurati che il nome della porta del servizio Kubernetes, ad esempio http-80, corrisponde al protocollo utilizzato dall'applicazione.

Utilizza Esplora log per eseguire query sui log

Puoi utilizzare l'interfaccia Esplora log. per eseguire query su specifici log di accesso a Envoy. Ad esempio, per eseguire query su tutte le richieste hai abilitato MULTUAL_TLS e utilizza il protocollo grpc, aggiungi quanto segue al query sui log di accesso al server:

labels.protocol="grpc" labels.service_authentication_policy="MULTUAL_TLS"

Imposta un criterio di log di accesso

Visualizzare le informazioni specifiche del servizio o del carico di lavoro

Se hai un problema con un servizio o un carico di lavoro specifico anziché con un servizio o un carico di lavoro specifico esaminare i singoli proxy Envoy e raccogliere le informazioni pertinenti da questi. Per raccogliere informazioni su un determinato carico di lavoro e sui suoi proxy, puoi usare pilot-agent:

kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- pilot-agent request GET SCOPE

Nell'esempio, SCOPE è uno dei seguenti:

• certs - Certificati all'interno dell'istanza Envoy
• clusters - Cluster con Envoy configurato
• config_dump - Esegue il dump della configurazione Envoy
• listeners - Listener con Envoy configurato
• logging - Visualizza e modifica le impostazioni di logging
• stats - Statistiche di Envoy
• stats/prometheus - Statistiche di Envoy come record di Prometheus

Visualizza gli stati del socket del proxy

Puoi esaminare direttamente lo stato dei socket proxy Envoy utilizzando il seguente e il processo di sviluppo.

1. Visualizza un elenco di socket stabiliti, inclusi quelli in TIME_WAIT il che può influire negativamente sulla scalabilità se il conteggio è elevato:

   kubectl debug --image istio/base --target istio-proxy -it POD_NAME -n NAMESPACE_NAME -- ss -anopim

2. Visualizza un riepilogo delle statistiche socket:

   kubectl debug --image istio/base --target istio-proxy -it POD_NAME -n NAMESPACE_NAME -- ss -s

Per ulteriori informazioni, consulta Introduzione al comando ss.

istio-proxy e istio-init log

Inoltre, recupera i log istio-proxy e rivedine il contenuto per qualsiasi errori che potrebbero suggerire la causa del problema:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-proxy

Puoi fare lo stesso per il contenitore init:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-init

Passaggi successivi

• Eseguire l'integrazione con Cloud Trace. Cloud Trace è una funzionalità facoltativa in Cloud Service Mesh.

• Esportare i log del traffico in BigQuery.

• Crea metriche basate su log.