Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
La journalisation du plan de contrôle Amazon EKS fournit des journaux d'audit et de diagnostic directement depuis le plan de contrôle Amazon EKS vers CloudWatch les journaux de votre compte. Ces journaux vous permettent de sécuriser et d'exécuter facilement vos clusters. Vous pouvez sélectionner les types de journaux exacts dont vous avez besoin, et les journaux sont envoyés sous forme de flux de journaux à un groupe pour chaque cluster Amazon EKS inclus CloudWatch. Vous pouvez utiliser des filtres CloudWatch d'abonnement pour analyser les journaux en temps réel ou pour les transmettre à d'autres services (les journaux seront codés en Base64 et compressés au format gzip). Pour plus d'informations, consultez Amazon CloudWatch logging.
Vous pouvez commencer à utiliser la journalisation de plan de contrôle d'Amazon EKS en choisissant les types de journal que vous voulez activer pour chaque cluster Amazon EKS nouveau ou existant. Vous pouvez activer ou désactiver chaque type de journal par cluster à l'aide de la AWS Management Console AWS CLI (version 1.16.139 ou supérieure) ou via l'API Amazon EKS. Lorsque cette option est activée, les journaux sont automatiquement envoyés depuis le cluster Amazon EKS aux CloudWatch journaux du même compte.
Lorsque vous utilisez la journalisation sur le plan de contrôle Amazon EKS, le tarif Amazon EKS standard vous est facturé pour chaque cluster que vous exécutez. Les frais standard d'ingestion et de stockage des données CloudWatch Logs vous sont facturés pour tous les journaux envoyés à CloudWatch Logs depuis vos clusters. Vous êtes également facturé pour toutes les AWS ressources, telles que les EC2 instances Amazon ou les volumes Amazon EBS, que vous fournissez dans le cadre de votre cluster.
Les types de journal de plan de contrôle de cluster suivants sont disponibles. Chaque type de journal correspond à un composant du plan de contrôle Kubernetes. Pour en savoir plus sur ces composants, consultez Kubernetes Components
- Serveur d'API
api() -
Le serveur d'API de votre cluster est le composant du plan de contrôle qui expose l'API Kubernetes. Si vous activez les journaux du serveur d'API au moment du lancement du cluster, ou peu après, les journaux incluent les indicateurs qui ont été utilisés pour démarrer le serveur d'API. Pour plus d'informations, consultez kube-apiserver
et la stratégie d'audit dans la documentation Kubernetes. - Audit
audit() -
Les journaux d'audit Kubernetes fournissent un enregistrement des utilisateurs individuels, des administrateurs ou des composants du système qui ont affecté votre cluster. Pour plus d'informations, consultez la section Audit
dans la documentation Kubernetes. - Authentificateur
authenticator() -
Les journaux d'authentification sont propres à Amazon EKS. Ces journaux représentent le composant de plan de contrôle utilisé par Amazon EKS pour l'authentification de contrôle d'accès basé sur les rôles
(RBAC) Kubernetes à l'aide d'informations d'identification IAM. Pour de plus amples informations, veuillez consulter Organiser et surveiller les ressources du cluster. - Gestionnaire de contrôleur
controllerManager() -
Le gestionnaire de contrôleurs gère les boucles de contrôle principales fournies avec Kubernetes. Pour plus d'informations, consultez kube-controller-manager
dans la documentation Kubernetes. - Planificateur
scheduler() -
Le composant planificateur gère quand et où exécuter les pods dans votre cluster. Pour plus d'informations, consultez kube-scheduler
dans la documentation Kubernetes.
Activer ou désactiver les journaux du plan de contrôle
Par défaut, les journaux du plan de contrôle du cluster ne sont pas envoyés à CloudWatch Logs. Vous devez activer chaque type de journal individuellement pour envoyer des journaux pour votre cluster. CloudWatch Les taux d'ingestion des journaux, de stockage des archives et d'analyse des données s'appliquent aux journaux du plan de contrôle activés. Pour en savoir plus, consultez PricingCloudWatch
Pour mettre à jour la configuration de la journalisation du plan de contrôle, Amazon EKS a besoin d'un maximum de cinq adresses IP disponibles dans chaque sous-réseau. Lorsque vous activez un type de journal, les journaux sont envoyés avec un niveau de détail de journal 2.
Vous pouvez activer ou désactiver les journaux du plan de contrôle à l'aide de la CLI AWS Management Consoleou de la AWS CLI.
AWS Management Console
-
Ouvrez la console Amazon EKS
. -
Choisissez le nom du cluster pour afficher les informations le concernant.
-
Sélectionnez l’onglet Observabilité.
-
Dans la section Journalisation du plan de contrôle, sélectionnez Gérer la journalisation.
-
Pour chaque type de journal, choisissez si celui-ci doit être activé ou désactivé. Par défaut, chaque type de journal est désactivé.
-
Choisissez Save changes (Enregistrer les modifications) pour terminer.
AWS CLI
-
Vérifiez la version de votre AWS CLI à l'aide de la commande suivante.
aws --versionSi la version de votre AWS CLI est antérieure à
1.16.139, vous devez d'abord effectuer la mise à jour vers la dernière version. Pour installer ou mettre à niveau la AWS CLI, reportez-vous à la section Installation de l'interface de ligne de AWS commande dans le guide de l'utilisateur de l'interface de ligne de AWS commande. -
Mettez à jour la configuration d'exportation du journal du plan de contrôle de votre cluster à l'aide de la commande AWS CLI suivante. Remplacez
my-clusterpar le nom de votre cluster et spécifiez les valeurs d'accès au point de terminaison souhaitées.Note
La commande suivante envoie tous les types de journaux disponibles à CloudWatch Logs.
aws eks update-cluster-config \ --region region-code \ --name my-cluster \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'L'exemple qui suit illustre un résultat.
{ "update": { "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9", "status": "InProgress", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } } -
Surveillez l'état de la mise à jour de votre configuration de journal avec la commande suivante, en indiquant le nom de votre cluster et l'ID de mise à jour qui ont été renvoyés par la commande précédente. Votre mise à jour est terminée lorsqu'elle affiche l'état
Successful.aws eks describe-update \ --region region-code\ --name my-cluster \ --update-id 883405c8-65c6-4758-8cee-2a7c1340a6d9L'exemple qui suit illustre un résultat.
{ "update": { "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9", "status": "Successful", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } }
Afficher les journaux du plan de contrôle du cluster
Une fois que vous avez activé l'un des types de journaux du plan de contrôle pour votre cluster Amazon EKS, vous pouvez les consulter sur la CloudWatch console.
Pour en savoir plus sur l'affichage, l'analyse et la gestion des connexions CloudWatch, consultez le guide de l'utilisateur Amazon CloudWatch Logs.
-
Ouvrez la CloudWatch console
. Ce lien ouvre la console et affiche vos groupes de journaux disponibles actuels et les filtre avec le préfixe /aws/eks. -
Choisissez le cluster pour lequel vous souhaitez afficher les journaux. Le format du nom de groupe de journaux est
/aws/eks/.my-cluster/cluster -
Choisissez le flux de journal à afficher. La liste suivante décrit le format de nom de flux du journal pour chaque type de journal.
Note
À mesure que les données de flux de journal augmentent, les noms de flux de journal font l'objet d'une rotation. Lorsqu'il existe plusieurs flux de journaux pour un type de journal particulier, vous pouvez afficher le dernier flux en recherchant son nom avec l'heure du dernier événement (Last event time).
-
Journaux de composant de serveur d'API Kubernetes (
api) :kube-apiserver-1234567890abcdef01234567890abcde -
Audit (
audit:kube-apiserver-audit-1234567890abcdef01234567890abcde -
Authentificateur (
authenticator) :authenticator-1234567890abcdef01234567890abcde -
Gestionnaire de contrôleur (
controllerManager) :kube-controller-manager-1234567890abcdef01234567890abcde -
Planificateur (
scheduler) :kube-scheduler-1234567890abcdef01234567890abcde
-
-
Parcourez les événements du flux de journaux.
Par exemple, vous devez voir les indicateurs de serveur d'API initiaux correspondant au cluster lorsque vous consultez le haut de
kube-apiserver-.1234567890abcdef01234567890abcdeNote
Si les journaux du serveur d'API ne s'affichent pas au début du flux de journaux, il est probable que le fichier journal du serveur d'API ait fait l'objet d'une rotation sur le serveur avant que vous n'activiez la journalisation du serveur d'API sur le serveur. Les fichiers journaux qui font l'objet d'une rotation avant que la journalisation du serveur d'API ne soit activée ne peuvent pas être exportés vers CloudWatch.
Toutefois, vous pouvez créer un nouveau cluster avec la même version de Kubernetes et activer la journalisation du serveur API lorsque vous créez le cluster. Les clusters dotés de la même version de plate-forme ont les mêmes drapeaux activés. Vos drapeaux doivent donc correspondre aux drapeaux du nouveau cluster. Lorsque vous avez fini de visualiser les drapeaux du nouveau cluster dans CloudWatch, vous pouvez supprimer le nouveau cluster.
