Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Journalisation de plan de contrôle d'Amazon EKS
La journalisation du plan de contrôle Amazon EKS fournit des journaux d'audit et de diagnostic directement depuis le plan de contrôle Amazon EKS vers CloudWatch les journaux de votre compte. Ces journaux vous permettent de sécuriser et d'exécuter facilement vos clusters. Vous pouvez sélectionner les types de journaux exacts dont vous avez besoin, et les journaux sont envoyés sous forme de flux de journaux à un groupe pour chaque cluster Amazon EKS inclus CloudWatch. Pour plus d'informations, consultez Amazon CloudWatch logging.
Vous pouvez commencer à utiliser la journalisation de plan de contrôle d'Amazon EKS en choisissant les types de journal que vous voulez activer pour chaque cluster Amazon EKS nouveau ou existant. Vous pouvez activer ou désactiver chaque type de journal cluster par cluster à l'aide de la AWS Management Console, de la AWS CLI (version 1.16.139
ou supérieure) ou de l'API Amazon EKS. Lorsque cette option est activée, les journaux sont automatiquement envoyés depuis le cluster Amazon EKS aux CloudWatch journaux du même compte.
Lorsque vous utilisez la journalisation de plan de contrôle d'Amazon EKS, des frais standards Amazon EKS vous sont facturés pour chaque cluster que vous exécutez. Les frais standard d'ingestion et de stockage des données CloudWatch Logs vous sont facturés pour tous les journaux envoyés à CloudWatch Logs depuis vos clusters. Vous sont facturées également les ressources AWS, comme les instances Amazon EC2 ou les volumes Amazon EBS, que vous allouez dans le cadre de votre cluster.
Les types de journal de plan de contrôle de cluster suivants sont disponibles. Chaque type de journal correspond à un composant du plan de contrôle Kubernetes. Pour en savoir plus sur ces composants, consultez Composants Kubernetes
- Serveur d'API (
api
) -
Le serveur d'API de votre cluster est le composant de plan de contrôle qui expose l'API Kubernetes. Si vous activez les journaux du serveur d'API au moment du lancement du cluster, ou peu après, les journaux incluent les indicateurs qui ont été utilisés pour démarrer le serveur d'API. Pour plus d'informations, consultez
kube-apiserver
et la stratégie d'audit dans la documentation Kubernetes. - Audit (
audit
) -
Les journaux d'audit Kubernetes fournissent un enregistrement des différents utilisateurs, administrateurs ou composants système qui affectent votre cluster. Pour plus d'informations, consultez la section Audit
dans la documentation Kubernetes. - Authentificateur (
authenticator
) -
Les journaux d'authentification sont propres à Amazon EKS. Ces journaux représentent le composant de plan de contrôle utilisé par Amazon EKS pour l'authentification du contrôle d'accès basé sur les rôles
(RBAC) de Kubernetes à l'aide es informations d'identification IAM. Pour plus d'informations, consultez Gestion du cluster. - Gestionnaire de contrôleur (
controllerManager
) -
Le gestionnaire de contrôleur gère les boucles de contrôle de base qui sont fournies avec Kubernetes. Pour plus d'informations, consultez la section kube-controller-manager
dans la documentation Kubernetes. - Planificateur (
scheduler
) -
Le composant planificateur gère quand et où les Pods s'exécutent dans votre cluster. Pour plus d'informations, consultez kube-scheduler
dans la documentation Kubernetes.
Activation et désactivation des journaux de plan de contrôle
Par défaut, les journaux du plan de contrôle du cluster ne sont pas envoyés à CloudWatch Logs. Vous devez activer chaque type de journal individuellement pour envoyer des journaux pour votre cluster. CloudWatch Les taux d'ingestion des journaux, de stockage des archives et d'analyse des données s'appliquent aux journaux du plan de contrôle activés. Pour plus d'informations, consultez CloudWatch les tarifs
Pour mettre à jour la configuration de la journalisation du plan de contrôle, Amazon EKS a besoin d'un maximum de cinq adresses IP disponibles dans chaque sous-réseau. Lorsque vous activez un type de journal, les journaux sont envoyés avec un niveau de détail de journal 2
.
Affichage des journaux de plan de contrôle de cluster
Une fois que vous avez activé l'un des types de journaux du plan de contrôle pour votre cluster Amazon EKS, vous pouvez les consulter sur la CloudWatch console.
Pour en savoir plus sur l'affichage, l'analyse et la gestion des connexions CloudWatch, consultez le guide de l'utilisateur Amazon CloudWatch Logs.
Pour consulter les journaux du plan de contrôle de votre cluster sur la CloudWatch console
-
Ouvrez la CloudWatch console
. Ce lien ouvre la console et affiche vos groupes de journaux disponibles actuels et les filtre avec le préfixe /aws/eks
. -
Choisissez le cluster pour lequel vous souhaitez afficher les journaux. Le format du nom de groupe de journaux est
/aws/eks/
.my-cluster
/cluster -
Choisissez le flux de journal à afficher. La liste suivante décrit le format de nom de flux du journal pour chaque type de journal.
Note
À mesure que les données de flux de journal augmentent, les noms de flux de journal font l'objet d'une rotation. Lorsqu'il existe plusieurs flux de journaux pour un type de journal particulier, vous pouvez afficher le dernier flux en recherchant son nom avec l'heure du dernier événement (Last event time).
-
Journaux de composant de serveur d'API Kubernetes (
api
) :kube-apiserver-
1234567890abcdef01234567890abcde
-
Audit (
audit
) :kube-apiserver-audit-
1234567890abcdef01234567890abcde
-
Authentificateur (
authenticator
) :authenticator-
1234567890abcdef01234567890abcde
-
Gestionnaire de contrôleur (
controllerManager
) :kube-controller-manager-
1234567890abcdef01234567890abcde
-
Planificateur (
scheduler
) :kube-scheduler-
1234567890abcdef01234567890abcde
-
-
Parcourez les événements du flux de journaux.
Par exemple, vous devez voir les indicateurs de serveur d'API initiaux correspondant au cluster lorsque vous consultez le haut de
kube-apiserver-
.1234567890abcdef01234567890abcde
Note
Si vous ne voyez pas les journaux du serveur d'API au début du flux de journaux, il est probable que le fichier journal du serveur d'API a été l'objet d'une rotation sur le serveur avant d'activer la journalisation du serveur API sur le serveur. Les fichiers journaux qui font l'objet d'une rotation avant que la journalisation du serveur d'API ne soit activée ne peuvent pas être exportés vers CloudWatch.
Toutefois, vous pouvez créer un nouveau cluster avec la même version de Kubernetes et activer la journalisation du serveur API lorsque vous créez le cluster. Les clusters avec la même version de plate-forme ont les mêmes indicateurs activés, donc vos indicateurs doivent correspondre aux indicateurs du nouveau cluster. Lorsque vous avez fini de visualiser les drapeaux du nouveau cluster dans CloudWatch, vous pouvez supprimer le nouveau cluster.