Nesta página, você terá uma visão geral de como encontrar e usar seus registros do Google Kubernetes Engine (GKE).
Como acessar seus registros
É possível acessar os registros do GKE de várias maneiras:
No console do Google Cloud, é possível acessar os registros das seguintes páginas:
Kubernetes Engine:
- Selecione um cluster na página Clusters e, em seguida, selecione a guia Registros. Essa guia também oferece consultas sugeridas para os registros do cluster.
- Selecione uma carga de trabalho na página Cargas de trabalho. Em seguida, clique nos links Registros do contêiner ou Registros de auditoria na guia Visão geral para conferir seus registros na "Análise de registros". ou selecione a guia Registros para visualizar os registros no contexto.
Geração de registros: selecione Análise de registros. Em seguida, use filtros de geração de registros para selecionar os recursos do Kubernetes, como cluster, nó, namespace, pod ou registros de contêiner. Para exemplos de consultas para ajudar você a começar, consulte Consultas relacionadas ao Kubernetes.
- Monitoramento: os painéis do GKE exibem métricas e registros de recursos do GKE, como clusters, nós e pods. Para mais informações, consulte Conferir métricas de observabilidade.
Na Google Cloud CLI: consulte registros de clusters, nós, pods e contêineres usando o comando
gcloud logging read.
Para agregação de registros personalizados, análise de registros ou integração com sistemas de terceiros, também é possível usar o recurso de coletores de registro para exportar registros para o BigQuery, o Cloud Storage e o Pub/Sub.
Como entender seus registros
Um registro no Cloud Logging é um conjunto de entradas de registro e cada entrada de registro se aplica a um determinado tipo de recurso de geração de registros.
Tipos de recurso
Estes são os tipos de recursos específicos dos clusters do GKE:
| Tipos de recurso de registro | ||
|---|---|---|
gke_cluster |
Registros de operações de cluster do GKE | |
k8s_cluster |
Registros de cluster do Kubernetes | |
k8s_node |
Registros de nó do Kubernetes | |
k8s_pod |
Registros de pods do Kubernetes | |
k8s_container |
Registros de contêiner do Kubernetes | |
k8s_control_plane_component |
Registros do componente do plano de controle do Kubernetes | |
Quando o GKE grava os registros do cluster, cada entrada de registro inclui o tipo de recurso. Entender onde seus registros aparecem facilita a localização deles quando necessário.
Registros do sistema
Os registros do sistema incluem os registros das seguintes origens:
Todos os pods em execução nos namespaces
kube-system,istio-system,knative-serving,gke-systemeconfig-management-system.Os serviços de chaves não conteinerizados, como o ambiente de execução
docker/containerd,kubelet,kubelet-monitor,node-problem-detectorekube-container-runtime-monitor.A saída das portas seriais do nó, se os metadados da instância de VM
serial-port-logging-enableestiverem definidos como true. Desde o GKE 1.16-13-gke.400, a saída da porta serial dos nós é coletada pelo agente do Logging. Para desativar a geração de registros de saída da porta serial, defina--metadata serial-port-logging-enable=falsedurante a criação do cluster. A saída da porta serial é útil para solucionar falhas, inicializações com falha, problemas de inicialização ou problemas de desligamento em nós do GKE. Desativar esses registros pode limitar a solução de problemas.
Os registros de auditoria do sistema aparecerão no Cloud Logging com os seguintes nomes:
- projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access – Registros de acesso aos dados
- projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity – Registros de atividades do administrador
- projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event – Registros de eventos do sistema
- projects/PROJECT_ID/logs/events – Registro de eventos
Para informações detalhadas sobre entradas de registro que se aplicam aos tipos de recursos do cluster do Kubernetes e do GKE, consulte a documentação de registro de auditoria.
Há outros registros do sistema, como aqueles do kube-system, que são descritos em Como controlar a coleção de registros do aplicativo.Registros de aplicativos
Os contêineres do Kubernetes coletam registros para suas cargas de trabalho gravadas em STDOUT e
STDERR. É possível encontrar os registros de aplicativos de carga de trabalho
usando os tipos de recurso k8s_container ou gke_cluster. Os registros aparecerão no
Logging com os seguintes nomes:
projects/PROJECT_ID/logs/stderr – Registros gravados em erro padrão
projects/PROJECT_ID/logs/stdout – Registros gravados em saída padrão
Registros dos componentes do plano de controle
Se os registros do plano de controle estiverem ativados no cluster do GKE, os registros emitidos por determinados componentes do plano de controle do Kubernetes (por exemplo, o servidor da API, o programador e o gerenciador do controlador) serão exportados para o Cloud Logging.
Esses registros usam o tipo de recurso k8s_control_plane_component e aparecem no Cloud Logging com os seguintes nomes:
projects/PROJECT_ID/logs/container.googleapis.com%2Fapiserver
projects/PROJECT_ID/logs/container.googleapis.com%2Fscheduler
projects/PROJECT_ID/logs/container.googleapis.com%2Fcontroller-manager
Registros de acesso do plano de controle
Se você usa a autoridade do plano de controle do GKE, pode ativar registros opcionais para todas as conexões de rede de entrada para instâncias do plano de controle e quando eventos SSH ocorrem nas instâncias do plano de controle. Em seguida, correlacione esses registros de acesso do plano de controle com os registros da Transparência no acesso e com os registros do servidor da API Kubernetes para verificar se as conexões com as instâncias do plano de controle foram resultado de um acesso administrativo autorizado pelo pessoal do Google. Para mais detalhes, consulte Verificar as conexões do Google com o plano de controle do cluster.
Esses registros usam o tipo de recurso gke_cluster e aparecem no Cloud Logging
com os seguintes nomes:
projects/PROJECT_ID/logs/container.googleapis.com%2Fkcp_connectionprojects/PROJECT_ID/logs/container.googleapis.com%2Fkcp_ssh
Registros de emissão de identidade de cluster
Se você usar a autoridade do plano de controle do GKE para executar suas próprias autoridades de certificação (ACs) e chaves de assinatura no cluster, o GKE vai gerar registros de auditoria quando essas ACs e chaves forem usadas para emitir certificados X.509 ou tokens JSON Web (JWTs) no cluster. Em seguida, você pode correlacionar esses registros de emissão de identidade com os registros do servidor da API Kubernetes, do Certificate Authority Service e do Cloud Key Management Service para acompanhar o uso desses certificados e JWTs no cluster. Para mais detalhes, consulte Verificar emissão e uso de identidade.
Esses registros são registros de auditoria de eventos do sistema que usam o tipo de recurso gke_cluster e
aparecem no Cloud Logging com o seguinte nome:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
Como localizar registros na interface do usuário do Logging
Confira seus registros usando a Análise de registros na interface do usuário do Logging.
Análise de registros
Ao usar o criador de consultas, você pode criar uma consulta selecionando campos em uma lista suspensa ou adicionando parâmetros de consulta manualmente. Por exemplo, se você estiver analisando registros de clusters do GKE, comece selecionando ou pesquisando o tipo de recurso do cluster do Kubernetes e selecionando o local e o nome do cluster. Em seguida, você pode refinar sua pesquisa selecionando os registros de atividade no seletor Nome do registro.
A Análise de registros oferece uma outra maneira de criar suas consultas de pesquisa usando o Explorador de campo de registros. Ela mostra a contagem de entradas de registro, classificadas por contagem de diminuição, para o campo de registro fornecido. Usar a Análise de campos de registros é particularmente útil para registros do GKE porque ela fornece uma maneira fácil de selecionar os valores do Kubernetes nos seus recursos para criar uma consulta. Por exemplo, usando o Explorador de campo de registros, é possível selecionar registros para um cluster, namespace, nome de pod e nome de contêiner específicos.
Confira mais detalhes na documentação do Logging sobre o uso da Análise de registros.
Amostras de consultas
Se você estiver procurando registros específicos, use as seguintes consultas de amostra para encontrar seus registros do GKE:
Exemplos de consultas de registros relacionadas ao Kubernetes
Exemplos de consultas de registros do plano de controle do Kubernetes Engine
Solucionar problemas de registros
Se você estiver gravando um alto volume de registros do cluster do GKE, talvez muitos desses registros não apareçam no Cloud Logging de maneira consistente. Uma possível causa é que o volume de geração de registros excede a capacidade de geração de registros compatível com o GKE.
O Logging oferece suporte a até 100 KB/s por nó de capacidade de geração de registros. Se algum dos nós no cluster do GKE exigir uma maior capacidade de processamento de geração de registros, é recomendável aumentar a capacidade de processamento do agente do Logging.