Registrazione del piano di controllo di Amazon EKS - Amazon EKS

Registrazione del piano di controllo di Amazon EKS

La registrazione del piano di controllo Amazon EKS fornisce registri di audit e di diagnostica direttamente dal piano di controllo Amazon EKS a CloudWatch Logs nell' account. Questi log consentono di semplificare la protezione e l'esecuzione dei cluster. Puoi selezionare i tipi di registro esatti di cui hai bisogno e questi vengono inviati come flussi di registro a un gruppo per ogni cluster Amazon EKS in CloudWatch.

É possibile iniziare a utilizzare il piano di controllo Amazon EKS scegliendo quali tipi di log che si desidera abilitare per ogni cluster Amazon EKS nuovo o esistente. È possibile abilitare o disabilitare ogni tipo di log in base al cluster utilizzando la AWS Management Console, AWS CLI (versione 1.16.139 o superiore) o tramite l'API Amazon EKS. Se abilitati, i log vengono inviati automaticamente dal cluster Amazon EKS a CloudWatch Logs nello stesso account.

Quando si utilizza la registrazione del piano di controllo Amazon EKS, viene addebitato il prezzo Amazon EKS standard per ogni cluster eseguito. Vengono addebitati i costi di inserimento e archiviazione dei dati CloudWatch Logs standard per gli eventuali log inviati a CloudWatch Logs dai cluster. Inoltre, vengono addebitati i costi delle risorse AWS, ad esempio istanze Amazon EC2 o volumi Amazon EBS, di cui si effettua il provisionig come parte del cluster.

Sono disponibili i seguenti tipi di registro del piano di controllo del cluster. Ogni tipo di registro corrisponde a un componente del piano di controllo Kubernetes. Per ulteriori informazioni su questi componenti, consultare Kubernetes Components nella documentazione Kubernetes.

  • Registri dei componenti del server API Kubernetes (api) – Il server API del cluster è il componente del piano di controllo che espone l'API Kubernetes. Per ulteriori informazioni, consultare kube-apiserver nella documentazione Kubernetes.

  • Controllo (audit) – I registri di controllo Kubernetes forniscono un record dei singoli utenti, amministratori o componenti di sistema che hanno interessato il cluster. Per ulteriori informazioni, consultare Auditing nella documentazione Kubernetes.

  • Autenticatore (authenticator) – I registri dell'autenticatore sono unici per Amazon EKS. Questi registri rappresentano il componente del piano di controllo utilizzato da Amazon EKS per l'autenticazione Role Based Access Control (RBAC) Kubernetes utilizzando credenziali IAM. Per ulteriori informazioni, consulta . Gestione dei cluster.

  • Controller manager (controllerManager) – Il controller manager gestisce i loop di controllo core inviati con Kubernetes. Per ulteriori informazioni, consultare kube-controller-manager nella documentazione Kubernetes.

  • Pianificatore (scheduler) – Il componente Pianificatore gestisce quando e dove eseguire i pod nel cluster. Per ulteriori informazioni, consultare kube-scheduler nella documentazione Kubernetes.

Abilitazione e disabilitazione dei log del piano di controllo

Per impostazione predefinita, i log del piano di controllo del cluster non vengono esportati in CloudWatch Logs. Ogni tipo di registro deve essere abilitato individualmente per inviare log per il cluster. L'acquisizione di CloudWatch Logs, lo spazio di archiviazione e i costi di scansione dei dati si applicano ai registri del piano di controllo abilitati. Per ulteriori informazioni, consultare la pagina dei prezzi di CloudWatch

Quando abiliti un tipo di registro, i log vengono inviati con un livello di dettaglio dei log di 2.

Per abilitare o disabilitare i log del piano di controllo con la console

  1. Aprire la Console Amazon EKS.

  2. Scegliere il nome del cluster per visualizzare le informazioni sul cluster.

  3. Selezionare la scheda Configurazione.

  4. In Registrazione, scegliere Gestire la registrazione.

  5. Per ogni singolo tipo di registro, scegliere se questo deve essere Enabled (Abilitato) o Disabled (Disabilitato). Per impostazione predefinita, ogni tipo di registro è Disabled (Disabilitato).

  6. Scegliere Salva le modifiche per terminare.

Per abilitare o disabilitare i log del piano di controllo con la AWS CLI

  1. Controllare la versione della AWS CLI con il seguente comando.

    aws --version

    Se la versione della AWS CLI è inferiore alla 1.16.139, è necessario eseguire l'aggiornamento alla versione più recente. Per installare o aggiornare il AWS CLI, consultare Installazione di AWS Command Line Interface nella AWS Command Line Interface Guida per l'utente.

  2. Aggiornare la configurazione di esportazione dei log del piano di controllo del cluster con il comando della AWS CLI seguente. Sostituire il nome del cluster e i valori di accesso dell'endpoint desiderati.

    Nota

    Il comando seguente invia tutti i tipi di registro disponibili a CloudWatch Logs.

    aws eks update-cluster-config \ --region <region-code> \ --name <prod> \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'

    Output:

    { "update": { "id": "<883405c8-65c6-4758-8cee-2a7c1340a6d9>", "status": "InProgress", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } }
  3. Monitorare lo stato di aggiornamento della configurazione del log con il comando seguente utilizzando il nome del cluster e l'ID di aggiornamento restituiti dal comando precedente. L'aggiornamento è completo quando lo stato viene visualizzato come Successful.

    aws eks describe-update \ --region <region-code>\ --name <prod> \ --update-id <883405c8-65c6-4758-8cee-2a7c1340a6d9>

    Output:

    { "update": { "id": "<883405c8-65c6-4758-8cee-2a7c1340a6d9>", "status": "Successful", "type": "LoggingUpdate", "params": [ { "type": "ClusterLogging", "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}" } ], "createdAt": 1553271814.684, "errors": [] } }

Visualizzazione dei log del piano di controllo del cluster

Dopo aver abilitato uno qualsiasi dei tipi di registro del piano di controllo per il cluster Amazon EKS, è possibile visualizzarli nella console CloudWatch.

Per ulteriori informazioni sulla visualizzazione, l'analisi e la gestione dei log in CloudWatch, consultare la Guida per l'utente di Amazon CloudWatch Logs.

Visualizzazione dei registri del piano di controllo del cluster nella console CloudWatch

  1. Aprire la CloudWatch console (Console CloudWatch). Questo link visualizza apre la console e mostra i gruppi di registri disponibili correnti e li filtra con il prefisso /aws/eks.

  2. Scegliere il cluster per il quale si intende visualizzare i log. Il formato del nome del gruppo di log è /aws/eks/<cluster-name>/cluster.

  3. Scegliere il flusso di log da visualizzare. L'elenco seguente descrive il formato del nome del flusso di log per ogni tipo di registro.

    Nota

    Al crescere della quantità di dati del flusso di log, i nomi del flusso di log vengono ruotati. Quando sono presenti più flussi di log per un determinato tipo di registro, è possibile visualizzare il flusso di log più recente ricercando il nome del flusso di log con Last Event Time (Ora ultimo evento).

    • Kubernetes API server component logs (Log componenti del server API Kubernetes (api)kube-apiserver-<nnn...>

    • Audit (audit)kube-apiserver-audit-<nnn...>

    • Autenticatore (authenticator)authenticator-<nnn...>

    • Controller manager (controllerManager)kube-controller-manager-<nnn...>

    • Pianificatore (scheduler)kube-scheduler-<nnn...>