Proxylogs anfordern

Cloud Service Mesh unterstützt zwei verschiedene Arten von Zugriffslogs in Cloud Logging: Traffic-Logs (auch sogenannte Google Cloud Observability-Zugriffslogs) und Envoy-Zugriffslogs. Auf dieser Seite erfahren Sie, wie Sie aktivieren, deaktivieren, ansehen und interpretieren. Beachten Sie, dass Traffic-Logs ist standardmäßig aktiviert.

Zugriffslogs aktivieren und deaktivieren

cat <<EOF | kubectl apply -n istio-system -f -
apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: enable-envoy-disable-sd
  namespace: istio-system
spec:
  accessLogging:
  - providers:
      - name: envoy
  - providers:
      - name: stackdriver
    disabled: true
EOF

cat <<EOF | kubectl apply -n istio-system -f -
apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: disable-envoy-enable-sd
  namespace: istio-system
spec:
  accessLogging:
  - providers:
      - name: envoy
    disabled: true
  - providers:
      - name: stackdriver
EOF

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: "/dev/stdout"

Zugriffslogs ansehen

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-proxy

resource.type="k8s_container" \
resource.labels.container_name="istio-proxy"
resource.labels.cluster_name="CLUSTER_NAME" \
resource.labels.namespace_name="NAMESPACE_NAME" \
resource.labels.pod_name="POD_NAME"

{
  insertId: "1awb4hug5pos2qi"
  httpRequest: {
    requestMethod: "GET"
    requestUrl: "YOUR-INGRESS/productpage"
    requestSize: "952"
    status: 200
    responseSize: "5875"
    remoteIp: "10.8.0.44:0"
    serverIp: "10.56.4.25:9080"
    latency: "1.587232023s"
    protocol: "http"
  }
  resource: {
    type: "k8s_container"
    labels: {
      location: "us-central1-a"
      project_id: "YOUR-PROJECT"
      pod_name: "productpage-v1-76589d9fdc-ptnt9"
      cluster_name: "YOUR-CLUSTER-NAME"
      container_name: "productpage"
      namespace_name: "default"
    }
  }
  timestamp: "2020-04-28T19:55:21.056759Z"
  severity: "INFO"
  labels: {
    destination_principal: "spiffe://cluster.local/ns/default/sa/bookinfo-productpage"
    response_flag: "-"
    destination_service_host: "productpage.default.svc.cluster.local"
    source_app: "istio-ingressgateway"
    service_authentication_policy: "MUTUAL_TLS"
    source_name: "istio-ingressgateway-5ff85d8dd8-mwplb"
    mesh_uid: "YOUR-MESH-UID"
    request_id: "021ce752-9001-4ac6-b6d6-3b15f5d3632"
    destination_namespace: "default"
    source_principal:  "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account"
    destination_workload: "productpage-v1"
    destination_version: "v1"
    source_namespace: "istio-system"
    source_workload: "istio-ingressgateway"
    destination_name: "productpage-v1-76589d9fdc-ptnt9"
    destination_app: "productpage"
  }
  trace: "projects/YOUR-PROJECT/traces/d4197f59b7a43e3aeff3571bac99d536"
  receiveTimestamp: "2020-04-29T03:07:14.362416217Z"
  spanId: "43226343ca2bb2b1"
  traceSampled: true
  logName: "projects/YOUR-PROJECT/logs/server-accesslog-stackdriver"
  receiveTimestamp: "2020-04-28T19:55:32.185229100Z"
}

Cloud Service Mesh-Telemetrie interpretieren

In den folgenden Abschnitten erfahren Sie, wie Sie den Status Ihres Mesh-Netzwerks prüfen und Telemetrie mit hilfreichen Details, die Sie dabei unterstützen, Fehlerbehebung.

Messwerte der Steuerungsebene interpretieren

Konfigurationsverzögerungen diagnostizieren

Traffic-Logs interpretieren

Im Folgenden wird erläutert, wie Sie die Traffic-Logs zur Fehlerbehebung verwenden Verbindungsprobleme. Traffic-Logs sind standardmäßig aktiviert.

Cloud Service Mesh exportiert Daten in Traffic-Logs, mit denen Sie Fehler im folgenden Arten von Problemen:

• Datenverkehr und Fehler
• End-to-End-Anfragerouting

Traffic-Logs sind standardmäßig für Cloud Service Mesh-Installationen in Google Kubernetes Engine Sie können Trafficlogs aktivieren, indem Sie asmcli install noch einmal ausführen. Verwenden Sie die ursprünglich installiert wurden, lassen Sie jedoch das benutzerdefinierte Overlay weg, deaktiviert Stackdriver.

Es gibt zwei Arten von Traffic-Logs:

• Serverzugriffsprotokolle bieten eine serverseitige Ansicht von Anfragen. Diese befinden sich unter server-accesslog-stackdriver und sind an die überwachte Ressource k8s_container angehängt. Verwenden Sie die folgende URL-Syntax, um serverseitige Zugriffslogs anzuzeigen:

  https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver"&project=PROJECT_ID

• Clientzugriffslogs bieten eine clientseitige Ansicht von Anfragen. Sie befinden sich unter client-accesslog-stackdriver und sind an die überwachte Ressource k8s_pod angehängt. Verwenden Sie die folgende URL-Syntax, um clientseitige Zugriffslogs anzuzeigen:

  https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/client-accesslog-stackdriver"&project=PROJECT_ID

Zugriffslogs enthalten folgende Informationen:

• HTTP-Anfrageattribute, z. B. ID, URL, Größe, Latenz und allgemeine Header.
• Informationen zu Quell- und Zielarbeitslast, z. B. Name, Namespace, Identität, und allgemeine Bezeichnungen.
• Informationen zu kanonischen Quell- und Zieldiensten sowie Revisionsinformationen.
• Wenn Tracing aktiviert ist, enthalten die Logs Trace-Informationen wie Sampling, Trace-ID und Span-ID.

Traffic-Logs können die folgenden Labels enthalten:

• route_name
• upstream_cluster
• X-Envoy-Original-Path

Das ist ein Beispiel-Logeintrag:

{
  "insertId": "1j84zg8g68vb62z",
  "httpRequest": {
    "requestMethod": "GET",
    "requestUrl": "http://35.235.89.201:80/productpage",
    "requestSize": "795",
    "status": 200,
    "responseSize": "7005",
    "remoteIp": "10.168.0.26:0",
    "serverIp": "10.36.3.153:9080",
    "latency": "0.229384205s",
    "protocol": "http"
  },
  "resource": {
    "type": "k8s_container",
    "labels": {
      "cluster_name": "istio-e2e22",
      "namespace_name": "istio-bookinfo-1-68819",
      "container_name": "productpage",
      "project_id": "***",
      "location": "us-west2-a",
      "pod_name": "productpage-v1-64794f5db4-8xbtf"
    }
  },
  "timestamp": "2020-08-13T21:37:42.963881Z",
  "severity": "INFO",
  "labels": {
    "protocol": "http",
    "upstream_host": "127.0.0.1:9080",
    "source_canonical_service": "istio-ingressgateway",
    "source_namespace": "istio-system",
    "x-envoy-original-path": "",
    "source_canonical_revision": "latest",
    "connection_id": "32",
    "upstream_cluster": "inbound|9080|http|productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "requested_server_name": "outbound_.9080_._.productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_version": "v1",
    "destination_workload": "productpage-v1",
    "source_workload": "istio-ingressgateway",
    "destination_canonical_revision": "v1",
    "mesh_uid": "cluster.local",
    "source_principal": "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account",
    "x-envoy-original-dst-host": "",
    "service_authentication_policy": "MUTUAL_TLS",
    "destination_principal": "spiffe://cluster.local/ns/istio-bookinfo-1-68819/sa/bookinfo-productpage",
    "response_flag": "-",
    "log_sampled": "false",
    "destination_service_host": "productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_name": "productpage-v1-64794f5db4-8xbtf",
    "destination_canonical_service": "productpage",
    "destination_namespace": "istio-bookinfo-1-68819",
    "source_name": "istio-ingressgateway-6845f6d664-lnfvp",
    "source_app": "istio-ingressgateway",
    "destination_app": "productpage",
    "request_id": "39013650-4e62-9be2-9d25-78682dd27ea4",
    "route_name": "default"
  },
  "logName": "projects/***/logs/server-accesslog-stackdriver",
  "trace": "projects/***t/traces/466d77d15753cb4d7749ba5413b5f70f",
  "receiveTimestamp": "2020-08-13T21:37:48.758673203Z",
  "spanId": "633831cb1fda4fd5",
  "traceSampled": true
}

Sie können dieses Protokoll auf verschiedene Arten verwenden:

• Einbindung in Cloud Trace, ein optionales Feature in Cloud Service Mesh.
• Export von Trafficlogs nach BigQuery, um Abfragen auszuführen, wie die Auswahl aller Anfragen, die länger als 5 Sekunden dauern
• Logbasierte Messwerte erstellen
• 404- und 503-Fehler beheben

404- und 503-Fehler beheben

Im folgenden Beispiel wird erläutert, wie Sie dieses Log zur Fehlerbehebung verwenden, wenn eine Anfrage mit dem Antwortcode 404 oder 503 fehlschlägt.

1. Suchen Sie im Client-Zugriffslog nach einem Eintrag wie dem folgenden:

   httpRequest: {
   requestMethod: "GET"
   requestUrl: "://IP_ADDRESS/src/Util/PHP/eval-stdin.php"
   requestSize: "2088"
   status: 404
   responseSize: "75"
   remoteIp: "10.168.0.26:34165"
   serverIp: "10.36.3.149:8080"
   latency: "0.000371440s"
   protocol: "http"
   }

2. Gehen Sie zu den Labels im Zugriffslogeintrag. Suchen Sie das Feld response_flag, das in etwa so aussieht:

   response_flag: "NR"

   Der Wert NR ist ein Akronym für NoRoute. Das bedeutet, dass keine Route für das Ziel gefunden wurde oder es keine übereinstimmende Filterkette für eine nachgelagerte Verbindung gibt. Mit dem Label response_flag können Sie auch 503-Fehler beheben.

3. Wenn Sie sowohl in den Client- als auch den Serverzugriffslogs 503-Fehler sehen, prüfen Sie, ob die Portnamen für die einzelnen Dienste mit dem Namen des verwendeten Protokolls übereinstimmen. Beispiel: Wenn ein Golang-Binärclient über HTTP mit einem Golang-Server verbunden ist, der Port aber http2 lautet, wird das Protokoll nicht automatisch neu ausgehandelt.

Weitere Informationen finden Sie unter Antwort-Flags.

Envoy-Zugriffslogs interpretieren

In den folgenden Schritten wird erläutert, wie Sie die Envoy-Zugriffslogs zum Anzeigen von Traffic verwenden zur Fehlerbehebung zwischen beiden Enden einer Verbindung.

Envoy-Zugriffslogs sind nützlich für die Diagnose von Problemen wie:

• Datenverkehr und Fehler
• End-to-End-Anfragerouting

Envoy-Zugriffslogs sind in Cloud Service Mesh nicht standardmäßig aktiviert und können für die Cluster in einem Mesh-Netzwerk aktiviert.

Sie können Verbindungs- oder Anfragefehler beheben, indem Sie Aktivitäten generieren in die eine HTTP-Anfrage auslöst, und prüft dann die zugehörigen -Anfrage in den Quell- oder Ziellogs.

Wenn Sie eine Anfrage auslösen und diese in den Quellproxy-Logs ausgewiesen wird, bedeutet dies, dass die iptables-Traffic-Weiterleitung ordnungsgemäß funktioniert und der Envoy-Proxy den Traffic verarbeitet. Generieren Sie ein Envoy, wenn in den Logs Fehler angezeigt werden Konfigurations-Dump und prüfen Sie die Konfiguration des Envoy-Clusters, um sicherzustellen, richtig. Wenn Sie die Anfrage sehen, das Log jedoch keine Fehler enthält, prüfen Sie stattdessen die Zielproxy-Logs.

Wenn die Anfrage in den Zielproxy-Logs auftritt, gibt das an, dass das Mesh-Netzwerk ordnungsgemäß funktioniert. Wenn stattdessen ein Fehler angezeigt wird, führen Sie einen Envoy-Konfigurationsdump aus und verifizieren Sie die korrekten Werte für den in der Listener-Konfiguration festgelegten Traffic-Port.

Wenn das Problem nach den vorherigen Schritten weiterhin besteht, kann Envoy das Protokoll zwischen dem Sidecar und dem Anwendungs-Pod möglicherweise nicht automatisch verhandeln. Achten Sie darauf, dass der Portname des Kubernetes-Dienstes, z. B. http-80, mit dem Protokoll übereinstimmt, das von der Anwendung verwendet wird.

Logs mit dem Log-Explorer abfragen

Sie können die Log-Explorer-Oberfläche verwenden. um bestimmte Envoy-Zugriffslogs abzufragen. Um beispielsweise alle Anfragen abzufragen, MULTUAL_TLS aktiviert haben und das Protokoll grpc verwenden. Fügen Sie Folgendes an: Abfrage für Serverzugriffslogs:

labels.protocol="grpc" labels.service_authentication_policy="MULTUAL_TLS"

Richtlinie für Zugriffslogs festlegen

Dienst- oder arbeitslastspezifische Informationen aufrufen

Wenn Sie ein Problem mit einem bestimmten Dienst oder einer Arbeitslast haben, nicht eins, das sich auf das gesamte Mesh-Netzwerk auswirkt, prüfen Sie die einzelnen Envoy-Proxys und erfassen Sie von diesen relevante Informationen. Mit pilot-agent können Sie Informationen zu einer bestimmten Arbeitslast und ihren Proxys erfassen:

kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- pilot-agent request GET SCOPE

Im Beispiel ist SCOPE eine der folgenden Optionen:

• certs – Zertifikate in der Envoy-Instanz
• clusters – Cluster mit konfiguriertem Envoy
• config_dump – Löscht die Envoy-Konfiguration
• listeners – Listener mit konfiguriertem Envoy
• logging – Logging-Einstellungen aufrufen und ändern
• stats – Envoy-Statistiken
• stats/prometheus – Envoy-Statistiken als Prometheus-Datensätze

Proxy-Socket-Status aufrufen

Sie können den Status von Envoy-Proxy-Sockets mithilfe des folgenden Prozesses direkt prüfen.

1. Rufen Sie eine Liste der vorhandenen Sockets auf, einschließlich der Sockets mit dem Status TIME_WAIT, die sich negativ auf die Skalierbarkeit auswirken können, wenn deren Anzahl hoch ist:

   kubectl debug --image istio/base --target istio-proxy -it POD_NAME -n NAMESPACE_NAME -- ss -anopim

2. Zusammenfassung der Socket-Statistiken anzeigen:

   kubectl debug --image istio/base --target istio-proxy -it POD_NAME -n NAMESPACE_NAME -- ss -s

Weitere Informationen finden Sie unter Einführung in den ss-Befehl.

istio-proxy- und istio-init-Logs

Rufen Sie außerdem die istio-proxy-Logs ab und prüfen Sie deren Inhalt auf Fehler, die möglicherweise die Ursache des Problems sein:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-proxy

Sie können dies auch für den Container init tun:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-init

Nächste Schritte

• In Cloud Trace einbinden Cloud Trace ist ein optionales Feature. Cloud Service Mesh.

• Traffic-Logs nach BigQuery exportieren

• Logbasierte Messwerte erstellen