Zugriff auf EKS Capabilities Controller-Protokolle

EKS Capabilities-Controller für ACK, Kro und Argo CD werden in einer AWS verwalteten Infrastruktur außerhalb Ihrer Cluster ausgeführt. Sie können die Protokollzustellung für diese Controller mithilfe von Amazon CloudWatch Vending Logs konfigurieren, sodass Sie Einblick in das Controller-Verhalten zur Überwachung und Fehlerbehebung erhalten.

Protokolle werden im strukturierten JSON-Format geliefert und enthalten operative Felder wie Protokollebene, Nachricht, Controller-Name und Abgleichs-Identifikatoren. Interne AWS Metadaten werden vor der Auslieferung gefiltert — Sie erhalten nur den Inhalt des Betriebsprotokolls, der für Ihre Capability Controller relevant ist.

Unterstützte Protokolltypen

Jede Funktion verfügt über einen oder mehrere Protokolltypen, die Sie unabhängig voneinander als Bereitstellungsquellen für CloudWatch Vending Logs konfigurieren können.

ACK

• EKS_CAPABILITY_ACK_LOGS

kro

• EKS_CAPABILITY_KRO_LOGS

Argo CD

• EKS_CAPABILITY_ARGOCD_APPLICATION_LOGS

• EKS_CAPABILITY_ARGOCD_APPLICATIONSET_LOGS

• EKS_CAPABILITY_ARGOCD_COMMITSERVER_LOGS

• EKS_CAPABILITY_ARGOCD_REPOSERVER_LOGS

• EKS_CAPABILITY_ARGOCD_SERVER_LOGS

ACK verwendet einen einzigen Protokolltyp, der alle ACK-Dienstcontroller abdeckt. Protokolldatensätze enthalten ein controllerGroup Feld (z. B.,rds.services.k8s.aws)s3.services.k8s.aws, das angibt, welcher ACK-Dienstcontroller das Protokoll generiert hat. Sie können dieses Feld verwenden, um Logs nach einem bestimmten Service Controller in CloudWatch Logs Insights oder anderen Abfragetools zu filtern.

Argo CD hat fünf separate Protokolltypen, einen pro Controller-Komponente. Auf diese Weise können Sie die Protokollierung nur für die Controller aktivieren, die Sie benötigen, und diese an verschiedene Ziele weiterleiten.

Einrichten der Protokollbereitstellung

Verwenden Sie die AWS-Managementkonsole oder die Amazon Logs-API, um die Capability CloudWatch Controller-Protokollzustellung zu konfigurieren. Eine ausführliche Anleitung zur Einrichtung finden Sie unter Aktivieren der Protokollierung von AWS Diensten im Amazon CloudWatch Logs-Benutzerhandbuch. Jeder Capability Controller kann als individuelle Lieferquelle für CloudWatch Vending Logs konfiguriert werden, sodass Sie auswählen können, welche Protokolle Sie erhalten möchten.

Konsole

1. Öffnen Sie die Amazon EKS-Konsole unter https://console.aws.amazon.com/eks/home #/clusters.

2. Wählen Sie Ihren Clusternamen aus.

3. Wählen Sie die Registerkarte Funktionen und dann Ihre Fähigkeit aus.

4. Wählen Sie im Abschnitt Protokollzustellung die Option Hinzufügen aus.

5. Wählen Sie den Protokolltyp für Ihre Funktion und wählen Sie ein Ziel aus.

6. Wählen Sie Hinzufügen, um die Lieferung zu erstellen.

Verwenden von CloudWatch Amazon-APIs

Die Einrichtung der Protokollierung erfordert drei Schritte:

1. Erstellen Sie mithilfe der CloudWatch PutDeliverySource API eine Bereitstellungsquelle für die Funktion. Verwenden Sie die Funktion ARN als resourceArn und geben Sie den gewünschten Protokolltyp an.

2. Erstellen Sie ein Lieferziel mitPutDeliveryDestination. Geben Sie den ARN einer CloudWatch Protokollgruppe, eines S3-Buckets oder eines Amazon Data Firehose-Lieferdatenstroms an.

3. Erstellen Sie eine Lieferung, um die Quelle und das Ziel zu verbinden, indem SieCreateDelivery.

Sie können den Capability ARN mit dem describe-capability folgenden Befehl abrufen:

aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-capability \
  --query 'capability.capabilityArn' --output text

Sie können eine einzelne Funktion (Zustellungsquelle) konfigurieren, um Protokolle an mehrere Ziele zu senden, indem Sie mehrere Lieferungen erstellen. Sie können auch Protokolle von mehreren Funktionen an dasselbe Ziel senden.

IAM-Berechtigungen

Je nach ausgewähltem Ziel müssen Sie möglicherweise IAM-Richtlinien oder -Rollen für die CloudWatch Protokollgruppe, den S3-Bucket oder den Data Firehose-Lieferstream konfigurieren, um eine erfolgreiche Protokollzustellung sicherzustellen. Wenn Sie Protokolle AWS kontenübergreifend senden, verwenden Sie die PutDeliveryDestinationPolicy API, um eine IAM-Richtlinie zu konfigurieren, die die Übermittlung an das Ziel ermöglicht. Weitere Informationen finden Sie in der Dokumentation zu den Berechtigungen von CloudWatch Vending Logs.

Beispiel: Logs mit CloudWatch Logs Insights abfragen

So zeigen Sie Fehlerprotokolle für alle Controller an:

fields @timestamp, controller, message, error
| filter level = "error"
| sort @timestamp desc
| limit 50

Weitere Abfragebeispiele, darunter das Filtern nach Service Controller, das Verfolgen von Abstimmungszyklen und das Filtern von Argo-CD-Anwendungen, finden Sie unter Controller-Logs zur Fehlerbehebung verwenden.

Ihre Protokolle anzeigen

Nachdem Sie die Protokollzustellung konfiguriert haben, werden die Protokolle an das von Ihnen angegebene Ziel übermittelt. Die Methode für den Zugriff auf Protokolle hängt vom ausgewählten Zieltyp ab:

• CloudWatch Logs — Zeigen Sie Logs in der CloudWatch Logs-Konsole an, verwenden Sie AWS CLI-Befehle oder fragen Sie sie mit CloudWatch Logs Insights ab.

• Amazon S3 — Greifen Sie über die S3-Konsole, AWS CLI oder Analysetools wie Amazon Athena auf Protokolle als Objekte in Ihrem S3-Bucket zu.

• Amazon Data Firehose — Protokolle werden an Ihr konfiguriertes Firehose-Ziel (wie S3, OpenSearch Service, Redshift usw.) gestreamt.

Preisgestaltung

CloudWatch Für die Lieferung und Lagerung von Protokollen fallen Gebühren von Vending Logs an, die auf dem von Ihnen ausgewählten Lieferziel basieren. CloudWatch Vending Logs ermöglicht eine zuverlässige und sichere Protokollzustellung mit integrierter AWS Authentifizierung und Autorisierung zu einem reduzierten Preis im Vergleich zu CloudWatch Standard-Logs. Weitere Informationen finden Sie im Abschnitt Vending Logs auf der CloudWatch Preisseite.