Abilitare o disabilitare i log del piano di controllo Visualizza i log del piano di controllo del cluster

Invia i registri del piano di controllo ai CloudWatch registri

La registrazione EKS del piano di controllo di Amazon fornisce registri di controllo e diagnostica direttamente dal piano di EKS controllo Amazon ai CloudWatch registri del tuo account. Questi log consentono di semplificare la protezione e l'esecuzione dei cluster. Puoi selezionare i tipi di log esatti di cui hai bisogno e i log vengono inviati come flussi di log a un gruppo per ogni EKS cluster Amazon in cui risiede. CloudWatch Puoi utilizzare i filtri di CloudWatch abbonamento per eseguire analisi in tempo reale sui log o per inoltrarli ad altri servizi (i log saranno codificati in Base64 e compressi con il formato gzip). Per ulteriori informazioni, consulta Amazon CloudWatch logging.

Puoi iniziare a utilizzare la registrazione EKS del piano di controllo di Amazon scegliendo i tipi di log che desideri abilitare per ogni EKS cluster Amazon nuovo o esistente. Puoi abilitare o disabilitare ogni tipo di registro per cluster utilizzando AWS Management Console, AWS CLI (versione 1.16.139 o successiva) o tramite Amazon. EKS API Se abilitato, i log vengono inviati automaticamente dal EKS cluster Amazon a CloudWatch Logs in the same account.

Quando utilizzi il logging EKS del piano di controllo Amazon, ti viene addebitato il EKS prezzo standard di Amazon per ogni cluster che gestisci. Ti vengono addebitati i costi standard di inserimento e archiviazione dei dati di CloudWatch Logs per tutti i log inviati a CloudWatch Logs dai tuoi cluster. Ti vengono inoltre addebitate le spese per tutte AWS le risorse, ad esempio EC2 istanze Amazon o EBS volumi Amazon, di cui effettui il provisioning come parte del cluster.

Sono disponibili i seguenti tipi di log del piano di controllo (control plane) del cluster. Ogni tipo di log corrisponde a un componente del piano di controllo di Kubernetes. Per ulteriori informazioni su questi componenti, consulta Componenti di Kubernetes nella documentazione di Kubernetes.

APIserver () api: Il API server del cluster è il componente del piano di controllo che espone il KubernetesAPI. Se abiliti i log API del server all'avvio del cluster, o poco dopo, i log includono i flag del API server utilizzati per avviare il server. API Per ulteriori informazioni, consulta kube-apiserver e la policy di audit nella documentazione di Kubernetes.
Audit (audit): I log di audit di Kubernetes forniscono un record dei singoli utenti, amministratori o componenti di sistema che hanno interessato il cluster. Per ulteriori informazioni, consulta Controllo nella documentazione di Kubernetes.
Autenticatore (authenticator): I log di autenticazione sono esclusivi di Amazon. EKS Questi log rappresentano il componente del piano di controllo che Amazon EKS utilizza per l'autenticazione Role Kubernetes Based Access Control (RBAC) tramite IAM credenziali. Per ulteriori informazioni, consulta Organizza e monitora le risorse del cluster.
Gestore controller (controllerManager): Il gestore controller gestisce i loop di controllo principali inviati con Kubernetes. Per ulteriori informazioni, consulta la kube-controller-managerKubernetesdocumentazione.
Pianificatore (scheduler): Il componente pianificatore gestisce quando e dove eseguire i Pods nel cluster. Per ulteriori informazioni, consulta kube-scheduler nella documentazione di Kubernetes.

Abilitare o disabilitare i log del piano di controllo

Per impostazione predefinita, i log del piano di controllo del cluster non vengono inviati ai CloudWatch registri. È necessario abilitare ogni tipo di registro singolarmente per inviare i log per il cluster. CloudWatch Le tariffe di inserimento dei log, archiviazione, archiviazione e scansione dei dati si applicano ai log del piano di controllo abilitati. Per ulteriori informazioni, consulta la pagina dei prezzi. CloudWatch

Per aggiornare la configurazione di registrazione del piano di controllo, Amazon EKS richiede fino a cinque indirizzi IP disponibili in ciascuna sottorete. Quando abiliti un tipo di registro, i log vengono inviati con un livello di dettaglio dei log di 2.

AWS Management Console

Per abilitare o disabilitare i log del piano di controllo con AWS Management Console

Apri la EKS console Amazon a https://console.aws.amazon.com/eks/home#/clusters.
Scegliere il nome del cluster per visualizzare le informazioni sul cluster.
Scegli la scheda Osservabilità.
Nella sezione Registrazione del piano di controllo, scegli Gestisci registrazione.
Per ogni singolo tipo di log, scegli se il tipo di log deve essere attivato o disattivato. Per impostazione predefinita, i tipi di log sono disattivati.
Scegliere Salva le modifiche per terminare.

AWS CLI

Per abilitare o disabilitare i log del piano di controllo con AWS CLI

Controllate la vostra AWS CLI versione con il seguente comando.
```
aws --version
```
Se la tua AWS CLI versione è precedente alla1.16.139, devi prima eseguire l'aggiornamento alla versione più recente. Per installare AWS CLI, consultare Installazione della AWS Command Line Interface nella Guida per l'utente di AWS Command Line Interface .

Aggiorna la configurazione di esportazione dei log del piano di controllo del cluster con il seguente AWS CLI comando. Sostituisci my-cluster con il nome del cluster e specifica i valori desiderati per l'accesso all'endpoint.

Nota

Il comando seguente invia tutti i tipi di log disponibili a CloudWatch Logs.


aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'

Di seguito viene riportato un output di esempio:

{
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "InProgress",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

Monitorare lo stato di aggiornamento della configurazione del log con il comando seguente utilizzando il nome del cluster e l'ID di aggiornamento restituiti dal comando precedente. L'aggiornamento è completo quando lo stato viene visualizzato come Successful.


aws eks describe-update \
    --region region-code\
    --name my-cluster \
    --update-id 883405c8-65c6-4758-8cee-2a7c1340a6d9

Di seguito viene riportato un output di esempio:

{
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "Successful",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

Visualizza i log del piano di controllo del cluster

Dopo aver abilitato uno qualsiasi dei tipi di log del piano di controllo per il tuo EKS cluster Amazon, puoi visualizzarli sulla CloudWatch console.

Per ulteriori informazioni sulla visualizzazione, l'analisi e la gestione dei log in CloudWatch, consulta la Amazon CloudWatch Logs User Guide.

Per visualizzare i log del piano di controllo del cluster sulla console CloudWatch

Aprire la CloudWatch console. Questo link apre la console e mostra i gruppi di log disponibili correnti e li filtra con il prefisso /aws/eks.
Scegliere il cluster per il quale si intende visualizzare i log. Il formato del nome del gruppo di log è /aws/eks/my-cluster/cluster.
Scegliere il flusso di log da visualizzare. L'elenco seguente descrive il formato del nome del flusso di log per ogni tipo di registro.

Nota
Al crescere della quantità di dati del flusso di log, i nomi del flusso di log vengono ruotati. Quando esistono più flussi di log per un determinato tipo di log, puoi visualizzare l'ultimo flusso di log cercando il nome del flusso di log con Last event time (Ora ultimo evento) più recente.
- KubernetesAPIregistri dei componenti del server (api) — kube-apiserver-1234567890abcdef01234567890abcde
- Controllo (audit) – kube-apiserver-audit-1234567890abcdef01234567890abcde
- Autenticatore (authenticator) – authenticator-1234567890abcdef01234567890abcde
- Gestore controller (controllerManager) – kube-controller-manager-1234567890abcdef01234567890abcde
- Pianificatore (scheduler) – kube-scheduler-1234567890abcdef01234567890abcde
Esamina gli eventi del flusso di log.

Ad esempio, dovresti vedere i flag iniziali del API server per il cluster quando visualizzi la parte superiore di. kube-apiserver-1234567890abcdef01234567890abcde

Nota
Se non vedi i log del API server all'inizio del flusso di log, è probabile che il file di log del API server sia stato ruotato sul server prima di abilitare la registrazione del API server sul server. I file di log che vengono ruotati prima dell'attivazione della registrazione API del server non possono essere esportati in. CloudWatch
Tuttavia, è possibile creare un nuovo cluster con la stessa Kubernetes versione e abilitare la registrazione del API server quando si crea il cluster. I cluster con la stessa versione della piattaforma hanno gli stessi flag abilitati, quindi i flag devono corrispondere ai flag del nuovo cluster. Al termine della visualizzazione dei flag relativi al nuovo cluster CloudWatch, è possibile eliminare il nuovo cluster.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon CloudWatch

AWS CloudTrail