Amazon-EKS-Steuerebenen-Protokollierung - Amazon EKS

Amazon-EKS-Steuerebenen-Protokollierung

Die Protokollierung der Amazon-EKS-Steuerebene bietet Prüf- und Diagnoseprotokolle direkt von der Amazon-EKS-Steuerebene zu CloudWatch Logs in Ihrem Konto. Diese Protokolle erleichtern Ihnen die Absicherung und Ausführung Ihrer Cluster. Sie können die Protokolltypen auswählen, die Sie benötigen. Die Protokolle werden für jeden Amazon-EKS-Cluster in CloudWatch als Protokollstreams an eine Gruppe gesendet.

Sie können mit der Protokollierung der Amazon-EKS-Steuerebene beginnen, indem Sie die für jeden neuen oder bestehenden Amazon-EKS-Cluster zu aktivierenden Protokolltypen auswählen. Sie können die einzelnen Protokolltypen pro Cluster über die AWS Management Console, AWS CLI (Version 1.16.139 oder höher) oder die Amazon-EKS-API aktivieren oder deaktivieren. Wenn aktiviert, werden die Protokolle automatisch vom Amazon-EKS-Cluster an CloudWatch Logs im selben Konto gesendet.

Wenn Sie die Protokollierung der Amazon-EKS-Steuerebene verwenden, werden Ihnen für jeden betriebenen Cluster die Amazon-EKS-Standardpreise berechnet. Für alle Protokolle, die von Ihren Clustern an CloudWatch Logs gesendet werden, werden Ihnen die standardmäßigen CloudWatch-Logs-Datenaufnahme- und -speicherkosten in Rechnung gestellt. Ihnen werden außerdem alle als Teil Ihres Clusters bereitgestellten AWS-Ressourcen (z. B. Amazon-EC2-Instances oder Amazon-EBS-Volumes) berechnet.

Die folgenden Cluster-Steuerebenen-Protokolltypen sind verfügbar. Jeder Protokolltyp entspricht einer Komponente der Kubernetes-Steuerebene. Um mehr über diese Komponenten zu erfahren, lesen Sie Kubernetes-Komponenten in der Kubernetes-Dokumentation.

  • Protokolle der Kubernetes-API-Serverkomponente (api) – Der API-Server Ihres Clusters ist die Steuerebenenkomponente, die die Kubernetes-API verfügbar macht. Weitere Informationen finden Sie unter kube-apiserver in der Kubernetes-Dokumentation.

  • Prüfung (audit) – Kubernetes-Audit-Logs bieten eine Aufzeichnung der einzelnen Benutzer, Administratoren oder Systemkomponenten, die Ihren Cluster betroffen haben. Weitere Informationen finden Sie unter Prüfung in der Kubernetes-Dokumentation.

  • Authenticator (authenticator)— Authentifizierungsprotokolle sind einzigartig für Amazon EKS. Diese Protokolle stellen die Steuerebenenkomponente dar, die Amazon EKS für die Kubernetes-Authentifizierung per rollenbasierter Zugriffssteuerung (RBAC) mit IAM-Anmeldeinformationen verwendet. Weitere Informationen finden Sie unter Cluster-Authentifizierung.

  • Controller-Manager (controllerManager) – Der Controller-Manager verwaltet die Kern-Regelkreise, die mit Kubernetes ausgeliefert werden. Weitere Informationen finden Sie unter kube-controller-manager in der Kubernetes-Dokumentation.

  • Scheduler (scheduler) – Die Scheduler-Komponente verwaltet, wann und wo Pods in Ihrem Cluster ausgeführt werden. Weitere Informationen finden Sie unter kube-scheduler in der Kubernetes-Dokumentation.

Aktivieren und Deaktivieren von Steuerebenenprotokollen

Standardmäßig werden Protokolle der Cluster-Steuerebene nicht an CloudWatch Logs gesendet. Sie müssen jeden Protokolltyp einzeln aktivieren, um Protokolle für Ihren Cluster zu senden. CloudWatch Logs-Aufnahme, -Archivspeicher, und -Datenscanraten gelten für aktivierte Protokolle der Steuerungsebene. Weitere Informationen hierzu finden Sie unter Amazon CloudWatch – Preise.

Wenn Sie einen Protokolltyp aktivieren, werden die Protokolle mit der Protokollausführungsstufe gesendet 2.

So aktivieren oder deaktivieren Sie Steuerebenenprotokolle mit der Konsole:

  1. Öffnen Sie die Amazon-EKS-Konsole.

  2. Wählen Sie den Namen des Clusters aus, um Ihre Cluster-Informationen anzuzeigen.

  3. Wählen Sie die Registerkarte Konfiguration.

  4. Wählen Sie unter Protokollierung die Option Protokollierung verwalten aus.

  5. Wählen Sie für jeden Protokolltyp aus, ob der Protokolltyp Enabled (Aktiviert) oder Disabled (Deaktiviert) sein soll. Standardmäßig ist jeder Protokolltyp Deactivated (Deaktiviert).

  6. Wählen Sie Änderungen speichern, um den Vorgang abzuschließen.

So aktivieren oder deaktivieren Sie Steuerebenenprotokolle mit der : AWS CLI

  1. Sie können Ihre AWS CLI-Version mit dem folgenden Befehl überprüfen.

    aws --version

    Bei einer AWS CLI-Version unter 1.16.139 müssen Sie zunächst auf die neueste Version aktualisieren. Informationen zum Installieren oder Aktualisieren des AWS CLI finden Sie unter Installieren des AWS Command Line Interface im AWS Command Line Interface-Benutzerhandbuch.

  2. Aktualisieren Sie die Exportkonfiguration des Steuerebenenprotokolls Ihres Clusters mit dem folgenden AWS CLI-Befehl. Verwenden Ihre eigenen Werte für den Clusternamen und den gewünschten Endpunkt.

    Anmerkung

    Der folgende Befehl sendet alle verfügbaren Protokolltypen an CloudWatch Logs.

    aws eks update-cluster-config \ --region <region-code> \ --name <prod> \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'

    Ausgabe:

    { "update": { "id": "<883405c8-65c6-4758-8cee-2a7c1340a6d9>", "status": "InProgress", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } }
  3. Überwachen Sie den Status Ihres Protokoll-Konfigurationsupdates mit dem folgenden Befehl unter Verwendung des Cluster-Namens und der Update-ID, die vom vorherigen Befehl zurückgegeben wurden. Ihre Aktualisierung ist abgeschlossen, wenn als Status angezeigt wird Successful.

    aws eks describe-update \ --region <region-code>\ --name <prod> \ --update-id <883405c8-65c6-4758-8cee-2a7c1340a6d9>

    Ausgabe:

    { "update": { "id": "<883405c8-65c6-4758-8cee-2a7c1340a6d9>", "status": "Successful", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } }

Anzeigen von Cluster-Steuerebenenprotokollen

Nachdem Sie Steuerebenen-Protokolltypen für Ihren Amazon-EKS-Cluster aktiviert haben, können Sie diese in der CloudWatch-Konsole einsehen.

Weitere Informationen zum Anzeigen, Analysieren und Verwalten von Protokollen in CloudWatch finden Sie im Amazon-CloudWatch-Logs-Benutzerhandbuch.

So zeigen Sie die Cluster-Steuerebenenenprotokolle in der CloudWatch-Konsole an:

  1. Öffnen Sie die CloudWatch-Konsole. Der Link öffnet die Konsole und zeigt Ihre aktuell verfügbaren Protokollgruppen an und filtert sie mit dem /aws/eks-Präfix.

  2. Wählen Sie den Cluster aus, für den Sie die Protokolle anzeigen möchten. Das Format für den Namen der Protokollgruppen lautet /aws/eks/<cluster-name>/cluster.

  3. Wählen Sie den anzuzeigenden Protokollstream aus. Die folgende Liste beschreibt das Namensformat des Protokollstreams der einzelnen Protokolltypen.

    Anmerkung

    Wenn die Daten des Protokollstreams ansteigen, werden die Namen des Protokollstreams rotiert. Wenn mehrere Protokollstreams für einen bestimmten Protokolltyp vorhanden sind, können Sie den neuesten Protokollstream anzeigen, indem Sie nach dem Namen des Protokollstream mit der neuestenLast Event Time suchen.

    • Kubernetes-API-Server-Komponentenprotokolle (api)kube-apiserver-<nnn...>

    • Prüfung (audit)kube-apiserver-audit-<nnn...>

    • Authentifikator (authenticator)authenticator-<nnn...>

    • Controller-Manager (controllerManager)kube-controller-manager-<nnn...>

    • Planer (scheduler)kube-scheduler-<nnn...>