Solicitar registros do proxy

As páginas do Cloud Service Mesh fornecem links para dois tipos diferentes de registros no Cloud Logging: Registros de acesso (também conhecidos como registros do Envoy) e Registros de tráfego (também conhecidos como registros de acesso do Google Cloud Observability).

Registros de acesso

Ativar registros de acesso

As etapas necessárias para ativar os logs de acesso dependem do tipo de Cloud Service Mesh, gerenciado ou no cluster:

Ver registros de acesso

Para ver registros no Explorador de registros:

  1. Acesse o Explorador de registros:

    Acesse o Explorador de registros

  2. Selecione o projeto do Google Cloud apropriado.

  3. Execute a seguinte consulta:

    resource.type="k8s_container" \
    resource.labels.container_name="istio-proxy"
    resource.labels.cluster_name="CLUSTER_NAME" \
    resource.labels.namespace_name="NAMESPACE_NAME" \
    resource.labels.pod_name="POD_NAME"
    

Registros de tráfego

Ativar registros de tráfego

Os registros de tráfego são ativados por padrão, a menos que o Cloud Service Mesh esteja instalado no Google Distributed Cloud com a CA do Istio (anteriormente conhecida como Citadel).

Para ativar os registros de tráfego no Google Distributed Cloud com a CA do Istio ao instalar o Cloud Service Mesh no cluster, use a flag --option stackdriver. Como alternativa, é possível ativar os registros de tráfego no Google Distributed Cloud com a CA do Istio depois de instalar o Cloud Service Mesh no cluster.

Ver registros de tráfego

Ver registros de tráfego no Explorador de registros

Para ver registros de tráfego no Explorador de registros:

  1. Acesse o Explorador de registros:

    Acesse o Explorador de registros

  2. Selecione o projeto do Google Cloud apropriado.

  3. Execute a consulta a seguir, a depender de se você está visualizando os registros de acesso do cliente ou do servidor:

    Registros do servidor

    resource.labels.cluster_name="CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/server-accesslog-stackdriver"
    

    Registros do cliente

    resource.labels.cluster_name="CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/client-accesslog-stackdriver"
    

Visualizar os logs de tráfego na página Anthos Service Mesh

Para conferir os registros de tráfego na página do Cloud Service Mesh para um serviço durante um período específico, siga estas etapas:

  1. No console do Google Cloud, acesse a página Cloud Service Mesh.

    Acessar a página do Cloud Service Mesh

  2. Em Serviços, selecione o nome do serviço que você quer inspecionar.

  3. Acesse a página Métricas.

  4. Especifique um período no menu suspenso Período ou defina um período personalizado com a linha do tempo.

  5. Clique em Conferir registros de tráfego.

O registro de tráfego é nomeado como server-accesslog-stackdriver e é anexado ao recurso monitorado correspondente (k8s_container ou gce_instance) que o serviço está usando. O registro de tráfego contém as seguintes informações:

  • Propriedades da solicitação HTTP, como ID, URL, tamanho, latência e cabeçalhos comuns.

  • Informações da carga de trabalho de origem e destino, como nome, namespace, identidade e rótulos comuns.

  • Se o rastreamento estiver ativado, informações de rastreamento, como amostragem, ID de rastreamento e ID de período.

Veja um exemplo de entrada de registro:

{
  insertId: "1awb4hug5pos2qi"
  httpRequest: {
    requestMethod: "GET"
    requestUrl: "YOUR-INGRESS/productpage"
    requestSize: "952"
    status: 200
    responseSize: "5875"
    remoteIp: "10.8.0.44:0"
    serverIp: "10.56.4.25:9080"
    latency: "1.587232023s"
    protocol: "http"
  }
  resource: {
    type: "k8s_container"
    labels: {
      location: "us-central1-a"
      project_id: "YOUR-PROJECT"
      pod_name: "productpage-v1-76589d9fdc-ptnt9"
      cluster_name: "YOUR-CLUSTER-NAME"
      container_name: "productpage"
      namespace_name: "default"
    }
  }
  timestamp: "2020-04-28T19:55:21.056759Z"
  severity: "INFO"
  labels: {
    destination_principal: "spiffe://cluster.local/ns/default/sa/bookinfo-productpage"
    response_flag: "-"
    destination_service_host: "productpage.default.svc.cluster.local"
    source_app: "istio-ingressgateway"
    service_authentication_policy: "MUTUAL_TLS"
    source_name: "istio-ingressgateway-5ff85d8dd8-mwplb"
    mesh_uid: "YOUR-MESH-UID"
    request_id: "021ce752-9001-4ac6-b6d6-3b15f5d3632"
    destination_namespace: "default"
    source_principal:  "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account"
    destination_workload: "productpage-v1"
    destination_version: "v1"
    source_namespace: "istio-system"
    source_workload: "istio-ingressgateway"
    destination_name: "productpage-v1-76589d9fdc-ptnt9"
    destination_app: "productpage"
  }
  trace: "projects/YOUR-PROJECT/traces/d4197f59b7a43e3aeff3571bac99d536"
  receiveTimestamp: "2020-04-29T03:07:14.362416217Z"
  spanId: "43226343ca2bb2b1"
  traceSampled: true
  logName: "projects/YOUR-PROJECT/logs/server-accesslog-stackdriver"
  receiveTimestamp: "2020-04-28T19:55:32.185229100Z"
}

Interpretar a telemetria do Anthos Service Mesh

As seções a seguir explicam como verificar o status da malha e analisar as diversas telemetrias que contêm detalhes úteis para auxiliar a solução de problemas.

Interpretar as métricas do plano de controle

Ao instalar o Cloud Service Mesh com o plano de controle no cluster, por padrão, istiod exporta métricas para a Observabilidade do Google Cloud para monitoramento. istiod adiciona o prefixo istio.io/control a essas métricas e fornece insights sobre o estado do plano de controle, como o número de proxies conectados a cada instância, eventos de configuração, push e validações do plano de controle.

Observe ou resolva os problemas do plano de controle com as etapas a seguir.

  1. Carregue um painel de amostra:

    git clone https://github.com/GoogleCloudPlatform/monitoring-dashboard-samples && cd monitoring-dashboard-samples/dashboards && git checkout servicemesh
  2. Instale o painel do Cloud Service Mesh:

    gcloud monitoring dashboards create --config-from-file=dashboards/servicemesh/anthos-service-mesh-control-plane-monitoring.json
  3. Procure um painel chamado Istio Control Plane Dashboard na lista. Para mais informações, consulte Como visualizar o painel instalado.

Para ver a lista completa de métricas disponíveis, consulte Métricas exportadas.

Diagnosticar atrasos de configuração

As etapas a seguir explicam como usar a métrica pilot_proxy_convergence_time para diagnosticar um atraso entre uma alteração de configuração e todas as convergências de passagem.

  1. Execute um comando shell em um pod:

    kubectl exec -it $(kubectl get pod -l app=pilot -o jsonpath='{.items[0].metadata.name}' -n istio-system) -n istio-system -c istio-proxy -- curl -s
  2. Acesse localhost:15014 e grep para convergence nas métricas:

    curl http://localhost:15014/metrics | grep convergence

Interpretar os registros de acesso do Google Cloud Observability

As informações a seguir explicam como usar os registros de acesso da Observability do Google Cloud para solucionar problemas de conexão. Os registros de acesso/tráfego da Observabilidade do Google Cloud são ativados por padrão.

O Cloud Service Mesh exporta dados para os registros de acesso da Observabilidade do Google Cloud que podem ajudar a depurar os seguintes tipos de problemas:

  • Fluxo de tráfego e falhas
  • Roteamento de solicitação de ponta a ponta

Os registros de acesso da Observabilidade do Google Cloud são ativados por padrão para instalações do Cloud Service Mesh no Google Kubernetes Engine. É possível ativar os registros de acesso do Google Cloud Observability executando asmcli install novamente. Use as mesmas opções que você instalou originalmente, mas omita a sobreposição personalizada que desativou o Stackdriver.

Há dois tipos de registros de acesso:

  • Os registros de acesso ao servidor fornecem uma visão das solicitações. Eles estão localizados em server-accesslog-stackdriver, anexado ao recurso monitorado k8s_container. Use a seguinte sintaxe de URL para exibir registros de acesso do lado do servidor:

    https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver"&project=PROJECT_ID
  • Os registros de acesso do cliente fornecem uma visão das solicitações do lado do cliente. Eles estão localizados em client-accesslog-stackdriver, anexado ao recurso monitorado k8s_pod. Use a seguinte sintaxe de URL para exibir registros de acesso do lado do cliente:

    https://console.cloud.google.com/logs/viewer?advancedFilter=logName="projects/PROJECT_ID/logs/client-accesslog-stackdriver"&project=PROJECT_ID

Os registros de acesso contêm as seguintes informações:

  • Propriedades da solicitação HTTP, como ID, URL, tamanho, latência e cabeçalhos comuns.
  • Informações da carga de trabalho de origem e destino, como nome, namespace, identidade e rótulos comuns.
  • Informações de revisão e canônicas do serviço de origem e destino.
  • Se o rastreamento estiver ativado, os registros conterão informações de rastreamento, como amostragem, ID de rastreamento e ID do período.

As informações exibidas nos registros de acesso da Observabilidade do Google Cloud têm origem nos registros de acesso do Envoy quando você os ativa na configuração do Istio. Elas contêm os seguintes cabeçalhos:

  • route_name
  • upstream_cluster
  • X-Envoy-Original-Path
  • X-Envoy-Original-Host

Este é um exemplo de entrada de registro:

{
  "insertId": "1j84zg8g68vb62z",
  "httpRequest": {
    "requestMethod": "GET",
    "requestUrl": "http://35.235.89.201:80/productpage",
    "requestSize": "795",
    "status": 200,
    "responseSize": "7005",
    "remoteIp": "10.168.0.26:0",
    "serverIp": "10.36.3.153:9080",
    "latency": "0.229384205s",
    "protocol": "http"
  },
  "resource": {
    "type": "k8s_container",
    "labels": {
      "cluster_name": "istio-e2e22",
      "namespace_name": "istio-bookinfo-1-68819",
      "container_name": "productpage",
      "project_id": "***",
      "location": "us-west2-a",
      "pod_name": "productpage-v1-64794f5db4-8xbtf"
    }
  },
  "timestamp": "2020-08-13T21:37:42.963881Z",
  "severity": "INFO",
  "labels": {
    "protocol": "http",
    "upstream_host": "127.0.0.1:9080",
    "source_canonical_service": "istio-ingressgateway",
    "source_namespace": "istio-system",
    "x-envoy-original-path": "",
    "source_canonical_revision": "latest",
    "connection_id": "32",
    "upstream_cluster": "inbound|9080|http|productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "requested_server_name": "outbound_.9080_._.productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_version": "v1",
    "destination_workload": "productpage-v1",
    "source_workload": "istio-ingressgateway",
    "destination_canonical_revision": "v1",
    "mesh_uid": "cluster.local",
    "source_principal": "spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account",
    "x-envoy-original-dst-host": "",
    "service_authentication_policy": "MUTUAL_TLS",
    "destination_principal": "spiffe://cluster.local/ns/istio-bookinfo-1-68819/sa/bookinfo-productpage",
    "response_flag": "-",
    "log_sampled": "false",
    "destination_service_host": "productpage.istio-bookinfo-1-68819.svc.cluster.local",
    "destination_name": "productpage-v1-64794f5db4-8xbtf",
    "destination_canonical_service": "productpage",
    "destination_namespace": "istio-bookinfo-1-68819",
    "source_name": "istio-ingressgateway-6845f6d664-lnfvp",
    "source_app": "istio-ingressgateway",
    "destination_app": "productpage",
    "request_id": "39013650-4e62-9be2-9d25-78682dd27ea4",
    "route_name": "default"
  },
  "logName": "projects/***/logs/server-accesslog-stackdriver",
  "trace": "projects/***t/traces/466d77d15753cb4d7749ba5413b5f70f",
  "receiveTimestamp": "2020-08-13T21:37:48.758673203Z",
  "spanId": "633831cb1fda4fd5",
  "traceSampled": true
}

É possível usar esse registro de várias formas:

  • Integre ao Cloud Trace, um recurso opcional do Cloud Service Mesh.
  • Exporte registros de tráfego para o BigQuery, em que é possível executar consultas, como selecionar todas as solicitações em mais de cinco segundos.
  • Crie métricas com base em registros.
  • Resolver problemas de erros 404 e 503

Resolver problemas de erros 404 e 503

O exemplo a seguir explica como usar esse registro para solucionar problemas quando uma solicitação falha com um código de resposta 404 ou 503.

  1. No registro de acesso do cliente, procure uma entrada como a seguinte:

    httpRequest: {
    requestMethod: "GET"
    requestUrl: "://IP_ADDRESS/src/Util/PHP/eval-stdin.php"
    requestSize: "2088"
    status: 404
    responseSize: "75"
    remoteIp: "10.168.0.26:34165"
    serverIp: "10.36.3.149:8080"
    latency: "0.000371440s"
    protocol: "http"
    }
  2. Navegue até os rótulos na entrada de registro de acesso. Localize o campo response_flag como este:

    response_flag: "NR"

    O valor NR é um acrônimo para NoRoute, o que significa que nenhuma rota foi encontrada para o destino ou não há cadeia de filtros correspondente para uma conexão downstream. Da mesma forma, também é possível usar o rótulo response_flag para solucionar erros 503.

  3. Se você encontrar erros 503 nos registros de acesso de cliente e servidor, verifique se os nomes de porta definidos para cada serviço correspondem ao nome do protocolo em uso entre eles. Por exemplo, se um cliente binário golang se conectar a um servidor desse tipo usando HTTP, mas a porta for chamada http2, o protocolo não fará a negociação automática corretamente.

Para mais informações, consulte sinalizações de resposta.

Interpretar registros de acesso

As etapas a seguir explicam como usar os registros de acesso (também conhecidos como registros de proxy Envoy) para mostrar o tráfego entre ambas as extremidades de uma conexão para solução de problemas.

Os registros de acesso do Envoy são úteis para diagnosticar problemas como:

  • Fluxo de tráfego e falhas
  • Roteamento de solicitação de ponta a ponta

Os registros de acesso não são ativados por padrão no Cloud Service Mesh e só podem ser ativados globalmente em toda a malha.

Para solucionar falhas de conexão/solicitação, gere uma atividade no aplicativo que acione uma solicitação HTTP e, em seguida, inspecione a solicitação associada nos registros de origem ou destino.

Se você acionar uma solicitação que aparecer nos registros do proxy de origem, isso indicará que o redirecionamento do tráfego iptables está funcionando corretamente e que o proxy Envoy está processando o tráfego. Se houver erros nos registros, gere um dump de configuração do Envoy e verifique a configuração do cluster envoy para garantir que ele esteja correto. Se você vir a solicitação, mas o registro não tiver erros, verifique os registros de proxy de destino.

Se a solicitação aparece nos registros do proxy de destino, isso indica que a malha está funcionando corretamente. Se você vir um erro, execute um dump da configuração Envoy e verifique os valores corretos para a porta de tráfego definida na configuração do listener.

Se o problema persistir após a execução das etapas anteriores, o Envoy poderá ser negociado automaticamente com o protocolo entre o arquivo secundário e o pod do aplicativo. Verifique se o nome da porta do serviço do Kubernetes, por exemplo, http-80, corresponde ao protocolo que o aplicativo usa.

Usar o Explorador de registros para consultar registros

É possível usar a interface do Explorador de registros para consultar registros de acesso específicos. Por exemplo, para consultar todas as solicitações com MULTUAL_TLS ativado e usar o protocolo grpc, anexe a seguinte consulta de registros de acesso ao servidor:

labels.protocol="grpc" labels.service_authentication_policy="MULTUAL_TLS"

Definir uma política de registro de acesso

Para configurar a geração de registros de proxy do Cloud Service Mesh gerenciado, consulte Registros de acesso do Envoy.

Para definir uma política de registro de acesso para o Cloud Service Mesh com o plano de controle no cluster:

  1. Crie um arquivo de sobreposição personalizada IstioOperator que inclua os valores AccessLogPolicyConfig aplicáveis para o cenário.

  2. Transmita esse arquivo para asmcli usando a opção --custom_overlay para atualizar a configuração do plano de controle no cluster. Para informações sobre como executar asmcli install com um arquivo de sobreposição personalizado, consulte Instalar com recursos opcionais.

Ver informações específicas do serviço ou da carga de trabalho

Se você tiver um problema com um serviço ou carga de trabalho específico em vez de um problema em toda a malha, inspecione os proxies Envoy individuais e colete informações relevantes deles. Para coletar informações sobre uma carga de trabalho específica e os proxies, use pilot-agent:

kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- pilot-agent request GET SCOPE

No exemplo, SCOPE é um dos seguintes:

  • certs: certificados dentro da instância do Envoy
  • clusters: clusters com o Envoy configurado
  • config_dump: despeja a configuração do Envoy
  • listeners: listeners com o Envoy configurado
  • logging: visualizar e alterar as configurações de geração de registros
  • stats: estatísticas do Envoy
  • stats/prometheus: estatísticas do Envoy como registros do Prometheus

Visualizar estados dos soquetes do proxy

É possível examinar diretamente o estado dos soquetes do proxy Envoy usando o processo a seguir.

  1. Exiba uma lista de soquetes estabelecidos, incluindo soquetes no estado TIME_WAIT, que poderão afetar negativamente a escalabilidade se a contagem for alta:

    kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- ss -anopim
  2. Exiba um resumo das estatísticas do soquete:

    kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- ss -s

Para mais informações, consulte Uma introdução ao comando ss (em inglês).

Registros istio-proxy e istio-init

Além disso, recupere os registros istio-proxy e analise o conteúdo deles para identificar erros que podem sugerir a causa do problema:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-proxy

É possível fazer o mesmo para o contêiner init:

kubectl logs POD_NAME -n NAMESPACE_NAME -c istio-init

A seguir