Aktivieren oder deaktivieren Sie die Protokolle der Kontrollebene Protokolle der Cluster-Steuerungsebene anzeigen

Protokolle der Kontrollebene an CloudWatch Logs senden

Die Protokollierung der EKS Amazon-Kontrollebene stellt Prüf- und Diagnoseprotokolle direkt von der EKS Amazon-Kontrollebene zu den CloudWatch Protokollen in Ihrem Konto bereit. Diese Protokolle erleichtern Ihnen die Absicherung und Ausführung Ihrer Cluster. Sie können genau die Protokolltypen auswählen, die Sie benötigen, und die Protokolle werden als Protokollstreams an eine Gruppe für jeden EKS Amazon-Cluster gesendet CloudWatch. Sie können CloudWatch Abonnementfilter verwenden, um die Protokolle in Echtzeit zu analysieren oder sie an andere Dienste weiterzuleiten (die Protokolle werden Base64-kodiert und im GZIP-Format komprimiert). Weitere Informationen finden Sie unter CloudWatch Amazon-Protokollierung.

Sie können mit der Protokollierung auf der Amazon EKS Control Plane beginnen, indem Sie auswählen, welche Protokolltypen Sie für jeden neuen oder vorhandenen EKS Amazon-Cluster aktivieren möchten. Sie können jeden Protokolltyp pro Cluster mithilfe von AWS Management Console, AWS CLI (Version 1.16.139 oder höher) oder über Amazon EKS API aktivieren oder deaktivieren. Wenn diese Option aktiviert ist, werden Protokolle automatisch vom EKS Amazon-Cluster an CloudWatch Logs in demselben Konto gesendet.

Wenn Sie Amazon EKS Control Plane Logging verwenden, werden Ihnen für jeden Cluster, den Sie ausführen, die EKS Amazon-Standardpreise berechnet. Für alle Logs, die von Ihren Clustern an CloudWatch Logs gesendet werden, werden Ihnen die standardmäßigen Kosten für die Aufnahme und Speicherung von CloudWatch Logs-Daten in Rechnung gestellt. Ihnen werden auch alle AWS Ressourcen, wie EC2 Amazon-Instances oder EBS Amazon-Volumes, in Rechnung gestellt, die Sie als Teil Ihres Clusters bereitstellen.

Die folgenden Cluster-Steuerebenen-Protokolltypen sind verfügbar. Jeder Protokolltyp entspricht einer Komponente des Kubernetes Steuerebene. Weitere Informationen zu diesen Komponenten finden Sie unter Kubernetes-Komponenten im Kubernetes -Dokumentation.

APIServer () api: Der API Server Ihres Clusters ist die Komponente der Steuerungsebene, die verfügbar macht Kubernetes API. Wenn Sie API Serverprotokolle beim Starten des Clusters oder kurz danach aktivieren, enthalten die Protokolle API Serverflags, die zum Starten des API Servers verwendet wurden. Weitere Informationen finden Sie unter kube-apiserver und in der Audit-Richtlinie im Kubernetes -Dokumentation.
Prüfungaudit (): Kubernetes Audit-Logs enthalten eine Aufzeichnung der einzelnen Benutzer, Administratoren oder Systemkomponenten, die sich auf Ihren Cluster ausgewirkt haben. Weitere Informationen finden Sie unter Auditing im Kubernetes -Dokumentation.
Authenticatorauthenticator (): Authenticator-Logs gibt es nur bei AmazonEKS. Diese Protokolle stellen die Komponente der Steuerungsebene dar, die EKS Amazon für Kubernetes Rollenbasierte Zugriffskontrolle (RBAC) mithilfe von IAM Anmeldeinformationen. Weitere Informationen finden Sie unter Cluster-Ressourcen organisieren und überwachen.
Controller-ManagercontrollerManager (): Der Controller-Manager verwaltet die zentralen Regelkreise, die im Lieferumfang enthalten sind Kubernetes. Weitere Informationen finden Sie kube-controller-managerin der Kubernetes -Dokumentation.
Schedulerscheduler (): Die Scheduler-Komponente verwaltet, wann und wo sie ausgeführt werden soll Pods in Ihrem Cluster. Weitere Informationen finden Sie unter kube-scheduler im Kubernetes -Dokumentation.

Aktivieren oder deaktivieren Sie die Protokolle der Kontrollebene

Standardmäßig werden Protokolle der Cluster-Steuerungsebene nicht an CloudWatch Logs gesendet. Sie müssen jeden Protokolltyp einzeln aktivieren, um Protokolle für Ihren Cluster zu senden. CloudWatch Die Raten für die Aufnahme von Protokollen, die Archivierung und das Scannen von Daten gelten für aktivierte Protokolle auf der Kontrollebene. Weitere Informationen finden Sie unter CloudWatch Preise.

Um die Logging-Konfiguration der Kontrollebene zu aktualisieren, EKS benötigt Amazon bis zu fünf verfügbare IP-Adressen in jedem Subnetz. Wenn Sie einen Protokolltyp aktivieren, werden die Protokolle mit der Protokollausführungsstufe 2 gesendet.

Sie können die Protokolle der Kontrollebene entweder mit dem AWS Management Consoleoder dem AWS CLIaktivieren oder deaktivieren.

AWS Management Console

Öffnen Sie die EKSAmazon-Konsole.
Wählen Sie den Namen des Clusters aus, um Ihre Cluster-Informationen anzuzeigen.
Wählen Sie den Registerkarte Beobachtbarkeit.
Wählen Sie im Abschnitt Steuerebenen-Protokollierung die Option Protokollierung verwalten aus.
Wählen Sie für jeden Protokolltyp aus, ob er aktiviert oder deaktiviert sein soll. Standardmäßig sind alle Protokollierungstypen deaktiviert.
Wählen Sie Änderungen speichern, um den Vorgang abzuschließen.

AWS CLI

Überprüfen Sie Ihre AWS CLI Version mit dem folgenden Befehl.
```
aws --version
```
Wenn Ihre AWS CLI Version älter als ist1.16.139, müssen Sie zuerst auf die neueste Version aktualisieren. Informationen zur Installation oder zum AWS CLI Upgrade von finden Sie unter Installation der AWS Befehlszeilenschnittstelle im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle.

Aktualisieren Sie die Protokoll-Exportkonfiguration der Steuerungsebene Ihres Clusters mit dem folgenden AWS CLI Befehl. Ersetzen my-cluster mit Ihrem Clusternamen und geben Sie Ihre gewünschten Endpunktzugriffswerte an.

Anmerkung

Der folgende Befehl sendet alle verfügbaren Protokolltypen an CloudWatch Logs.


aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'

Eine Beispielausgabe sieht wie folgt aus.


{
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "InProgress",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

Überwachen Sie den Status Ihres Protokoll-Konfigurationsupdates mit dem folgenden Befehl unter Verwendung des Cluster-Namens und der Update-ID, die vom vorherigen Befehl zurückgegeben wurden. Ihre Aktualisierung ist abgeschlossen, wenn als Status Successful angezeigt wird.


aws eks describe-update \
    --region region-code\
    --name my-cluster \
    --update-id 883405c8-65c6-4758-8cee-2a7c1340a6d9

Eine Beispielausgabe sieht wie folgt aus.


{
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "Successful",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

Protokolle der Cluster-Steuerungsebene anzeigen

Nachdem Sie einen der Protokolltypen der Kontrollebene für Ihren EKS Amazon-Cluster aktiviert haben, können Sie ihn auf der CloudWatch Konsole anzeigen.

Weitere Informationen zum Anzeigen, Analysieren und Verwalten von Logs in CloudWatch Amazon Logs finden Sie im Amazon CloudWatch Logs-Benutzerhandbuch.

Öffnen Sie die CloudWatch Konsole. Der Link öffnet die Konsole und zeigt Ihre aktuell verfügbaren Protokollgruppen an und filtert sie mit dem /aws/eks-Präfix.
Wählen Sie den Cluster aus, für den Sie die Protokolle anzeigen möchten. Das Format für den Namen der Protokollgruppen lautet /aws/eks/my-cluster/cluster.
Wählen Sie den anzuzeigenden Protokollstream aus. Die folgende Liste beschreibt das Namensformat des Protokollstreams der einzelnen Protokolltypen.

Anmerkung
Wenn die Daten des Protokollstreams ansteigen, werden die Namen des Protokollstreams rotiert. Wenn mehrere Protokollstreams für einen bestimmten Protokolltyp vorhanden sind, können Sie den neuesten Protokollstream anzeigen, indem Sie nach dem Namen des Protokollstreams mit der letzten Last event time (Uhrzeit des letzten Ereignisses) suchen.
- Kubernetes APIProtokolle der Serverkomponenten (api) — kube-apiserver-1234567890abcdef01234567890abcde
- Prüfung (audit) – kube-apiserver-audit-1234567890abcdef01234567890abcde
- Authentifikator (authenticator) – authenticator-1234567890abcdef01234567890abcde
- Controller-Manager (controllerManager) – kube-controller-manager-1234567890abcdef01234567890abcde
- Scheduler (scheduler) – kube-scheduler-1234567890abcdef01234567890abcde
Sehen Sie sich die Ereignisse des Protokollstreams an.

Sie sollten beispielsweise die ersten API Server-Flags für den Cluster sehen, wenn Sie sich den oberen Teil von kube-apiserver-1234567890abcdef01234567890abcde.
Anmerkung
Wenn Sie die API Serverprotokolle nicht am Anfang des Protokolldatenstroms sehen, ist es wahrscheinlich, dass die API Serverprotokolldatei auf dem Server rotiert wurde, bevor Sie die API Serverprotokollierung auf dem Server aktiviert haben. Protokolldateien, die rotiert wurden, bevor die API Serverprotokollierung aktiviert wurde, können nicht exportiert werden CloudWatch.

Sie können jedoch einen neuen Cluster mit demselben erstellen Kubernetes Version und aktivieren Sie die API Serverprotokollierung, wenn Sie den Cluster erstellen. Bei Clustern mit derselben Plattformversion sind dieselben Flags aktiviert, sodass Ihre Flags mit den Flags des neuen Clusters übereinstimmen sollten. Wenn Sie die Anzeige der Flags für den neuen Cluster in abgeschlossen haben CloudWatch, können Sie den neuen Cluster löschen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon CloudWatch

AWS CloudTrail