Envío de los registros del plano de control a Registros de CloudWatch - Amazon EKS
Habilitación o deshabilitación de los registros del plano de controlVisualización de registros del plano de control del clúster

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Envío de los registros del plano de control a Registros de CloudWatch

El registro del plano de control de Amazon EKS proporciona registros de auditoría y diagnóstico directamente desde el plano de control de Amazon EKS a CloudWatch Logs en su cuenta. Estos registros hacen que le resulte más fácil asegura y ejecutar los clústeres. Puede seleccionar los tipos de registro exactos que necesita. Los registros se envían como secuencias de registro a un grupo para cada clúster de Amazon EKS en CloudWatch. Puede usar los filtros de suscripción de CloudWatch para analizar los registros en tiempo real o reenviarlos a otros servicios (los registros se codificarán en Base64 y se comprimirán en formato gzip). Para obtener más información, consulte Registros de Amazon CloudWatch.

Para comenzar a utilizar el registro del plano de control de Amazon EKS, elija los tipos de registro que desea habilitar para los clústeres nuevos o existentes de Amazon EKS. Puede habilitar o desactivar cada tipo de registro en función del clúster por medio de la AWS Management Console, la AWS CLI (versión 1.16.139 o posterior) o la API de Amazon EKS. Cuando se encuentran habilitados, los registros se envían automáticamente desde el clúster de Amazon EKS a CloudWatch Logs en la misma cuenta.

Cuando se utiliza el registro del plano de control de Amazon EKS, se facturan los precios de Amazon EKS estándar para cada clúster que ejecuta. Se cobra la ingesta de datos de CloudWatch Logs y los costos de almacenamiento estándar para cualquier registro enviado a CloudWatch Logs desde sus clústeres. También se cobran los recursos de AWS, como las instancias de Amazon EC2 o los volúmenes de Amazon EBS que aprovisiona como parte de su clúster.

Están disponibles los siguientes tipos de registro de plano de control de clúster. Cada tipo de registro se corresponde con un componente del plano de control de Kubernetes. Para obtener más información acerca de estos componentes, consulte los componentes de Kubernetes en la documentación de Kubernetes.

Servidor de la API (api)

El servidor de la API del clúster es el componente del plano de control que expone la API de Kubernetes. Si habilita los registros del servidor de la API al lanzar el clúster o poco después, estos registros incluyen los indicadores del servidor de la API que se usaron para iniciar el servidor de la API. Para obtener más información, consulte kube-apiserver y la política de auditoría en la documentación de Kubernetes.

Auditoría (audit)

Los registros de auditoría de Kubernetes ofrecen un registro de los usuarios individuales, administradores o componentes del sistema que han afectado el clúster. Para obtener más información, consulte la sección de auditorías en la documentación de Kubernetes.

Autenticador (authenticator)

Los registros del autenticador son exclusivos de Amazon EKS. Estos registros representan el componente del plano de control que Amazon EKS utiliza para la autenticación de control de acceso basado en rol (RBAC) de Kubernetes mediante credenciales de IAM. Para obtener más información, consulte Organización y supervisión de los recursos del clúster.

Administrador de controladores (controllerManager)

El administrador de controladores administra los bucles de control principal que se envían con Kubernetes. Para obtener más información, consulte kube-controller-manager en la documentación de Kubernetes.

Programador (scheduler)

El componente programador administra cuándo y dónde ejecutar Pods en su clúster. Para obtener más información, consulte kube-scheduler en la documentación de Kubernetes.

Habilitación o deshabilitación de los registros del plano de control

De forma predeterminada, los registros del plano de control del clúster no se envían a CloudWatch Logs. Debe habilitar cada tipo de registro de manera individual a fin de enviar registros para el clúster. Las tasas de ingesta, almacenamiento de archivos y análisis de datos de CloudWatch Logs se aplican a los registros del plano de control habilitados. Para obtener más información, consulte los precios de CloudWatch.

Para actualizar la configuración de registro del plano de control, Amazon EKS requiere hasta cinco direcciones IP disponibles en cada subred. Al habilitar un tipo de registro, los registros se envían con un nivel de detalle de registro de 2.

AWS Management Console
Para habilitar o deshabilitar los registros de plano de control con la AWS Management Console

  1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

  2. Elija el nombre del clúster para mostrar la información del clúster.

  3. Seleccione la pestaña Observabilidad.

  4. En la sección Registro del plano de control, elija Administrar registro.

  5. Para cada tipo de registro individual, elija si el tipo de registro debe estar habilitado o deshabilitado. De forma predeterminada, cada tipo de registro está desactivado.

  6. Elija Save changes (Guardar cambios) para terminar.

AWS CLI
Para habilitar o deshabilitar los registros de plano de control con la AWS CLI

  1. Consulte su versión de AWS CLI con el siguiente comando.

    aws --version

    Si su versión de AWS CLI es anterior a 1.16.139, primero debe actualizar a la última versión. Para instalar o actualizar la AWS CLI, consulte Instalación de AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface.

  2. Actualice la configuración de exportación del registro de plano de control del clúster con el siguiente comando de la AWS CLI. Reemplace my-cluster con el nombre del clúster y especifique los valores de acceso de punto de conexión deseados.

    nota

    El siguiente comando envía todos los tipos de registros disponibles a CloudWatch Logs.

    aws eks update-cluster-config \
    --region region-code \
    --name my-cluster \
    --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'

    Un ejemplo de salida sería el siguiente.

    {
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "InProgress",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

  3. Monitoree el estado de la actualización de la configuración del registro con el siguiente comando, utilizando el nombre del clúster y el ID de actualización devueltos por el comando anterior. Su actualización se habrá completado cuando el estado mostrado sea Successful.

    aws eks describe-update \
    --region region-code\
    --name my-cluster \
    --update-id 883405c8-65c6-4758-8cee-2a7c1340a6d9

    Un ejemplo de salida sería el siguiente.

    {
    "update": {
        "id": "883405c8-65c6-4758-8cee-2a7c1340a6d9",
        "status": "Successful",
        "type": "LoggingUpdate",
        "params": [
            {
                "type": "ClusterLogging",
                "value": "{\"clusterLogging\":[{\"types\":[\"api\",\"audit\",\"authenticator\",\"controllerManager\",\"scheduler\"],\"enabled\":true}]}"
            }
        ],
        "createdAt": 1553271814.684,
        "errors": []
    }
}

Visualización de registros del plano de control del clúster

Una vez que haya habilitado cualquiera de los tipos de registro del plano de control para el clúster de Amazon EKS, puede verlos en la consola de CloudWatch.

Para obtener más información sobre la visualización, el análisis y la administración de registros en CloudWatch, consulte la Guía del usuario de Amazon CloudWatch Logs.

Para ver los registros del plano de control del clúster en la consola de CloudWatch

  1. Abra la consola de CloudWatch. Este enlace abre la consola y muestra los grupos de registro disponibles actualmente y los filtra con el prefijo /aws/eks.

  2. Elija el clúster para el que desee ver registros. El formato del nombre del grupo de registros es /aws/eks/my-cluster/cluster.

  3. Elija la secuencia de registro que desea ver. En la siguiente lista se describe el nombre de secuencia de registro para cada tipo de registro.

    nota

    A medida que aumentan los datos de la secuencia de registro, se rotan los nombres de la secuencia de registro. Cuando hay mucho flujo de registro para un determinado tipo de registro, puede ver el último flujo de registro si busca el nombre del flujo de registro con la Last Event Time (Hora del último evento) más reciente.

    • Registros de componentes del servidor de API de Kubernetes (api): kube-apiserver-1234567890abcdef01234567890abcde

    • Auditoría (audit): kube-apiserver-audit-1234567890abcdef01234567890abcde

    • Autenticador (authenticator): authenticator-1234567890abcdef01234567890abcde

    • Administrador de controladores (controllerManager): kube-controller-manager-1234567890abcdef01234567890abcde

    • Programador (scheduler): kube-scheduler-1234567890abcdef01234567890abcde

  4. Examine los eventos del flujo de registro.

    Por ejemplo, debería ver los indicadores iniciales del servidor de la API del clúster al ver la parte superior de kube-apiserver-1234567890abcdef01234567890abcde.

    nota

    Si no ve los registros del servidor de API al principio de la secuencia de registro, es probable que el archivo de registro del servidor de API se haya rotado en el servidor antes de habilitar el registro del servidor de API en el servidor. Los archivos de registro que se rotan antes de habilitar el registro del servidor de la API no se pueden exportar a CloudWatch.

    Sin embargo, puede crear un nuevo clúster con la misma versión de Kubernetes y habilitar el registro del servidor de API cuando cree el clúster. Los clústeres con la misma versión de plataforma tienen los mismos indicadores habilitados, por lo que sus indicadores deben coincidir con los indicadores del nuevo clúster. Cuando termine de ver los indicadores del nuevo clúster en CloudWatch, puede eliminar el nuevo clúster.