Inviare i log di Amazon ECS a un servizio o AWSAWS Partner - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inviare i log di Amazon ECS a un servizio o AWSAWS Partner

Puoi utilizzare Amazon ECS FireLens per utilizzare i parametri di definizione delle attività per indirizzare i log verso un AWS servizio o una destinazione AWS Partner Network (APN) per l'archiviazione e l'analisi dei log. AWS Partner Network È una comunità globale di partner che sfrutta programmi, competenze e risorse per creare, commercializzare e vendere offerte ai clienti. Per ulteriori informazioni, consulta AWS Partner. FireLens funziona con Fluentd e Fluent Bit. Forniamo l'immagine AWS for Fluent Bit oppure puoi utilizzare la tua immagine Fluentd o Fluent Bit.

Considera quanto segue quando utilizzi FireLens Amazon ECS:

  • Ti consigliamo di my_service_ aggiungere il nome del contenitore di log in modo da poter distinguere facilmente i nomi dei contenitori nella console.

  • Amazon ECS aggiunge per impostazione predefinita una dipendenza dall'ordine iniziale del contenitore tra i contenitori dell'applicazione e il FireLens contenitore. Quando specifichi un ordine del contenitore tra i contenitori dell'applicazione e il FireLens contenitore, l'ordine di avvio del contenitore predefinito viene sovrascritto.

  • FireLensper Amazon ECS è supportato per le attività ospitate sia su Linux che AWS Fargate su Amazon EC2 su Linux. I container di Windows non supportano FireLens.

    Per informazioni su come configurare la registrazione centralizzata per i container di Windows, consulta Registrazione centralizzata per container di Windows su Amazon ECS tramite Fluent Bit.

  • Puoi usare dei AWS CloudFormation modelli per configurare FireLens Amazon ECS. Per ulteriori informazioni, consulta AWS::ECS::TaskDefinition FirelensConfigurationla Guida per l'utente AWS CloudFormation

  • FireLensascolta sulla porta24224, quindi per garantire che il FireLens log router non sia raggiungibile al di fuori dell'operazione, non devi consentire il traffico 24224 in entrata sulla porta del gruppo di sicurezza utilizzato dall'attività. Per attività che utilizzano la modalità di rete awsvpc, questo è il gruppo di sicurezza associato all'attività. Per attività che utilizzano la modalità di rete host, questo è il gruppo di sicurezza associato all'istanza Amazon EC2 che ospita l'attività. Per attività che utilizzano la modalità di rete bridge, non creare mappature di porte che utilizzano la porta 24224.

  • Per le attività che utilizzano la modalità di bridge rete, il contenitore con la FireLens configurazione deve avviarsi prima dell'avvio di qualsiasi contenitore di applicazioni che si basa su di essa. Per controllare l'ordine di avvio dei container, utilizza le condizioni di dipendenza nella definizione di attività. Per ulteriori informazioni, consulta Dipendenze per i container.

    Nota

    Se utilizzi i parametri delle condizioni di dipendenza nelle definizioni dei contenitori con una FireLens configurazione, assicurati che ogni contenitore abbia un requisito di HEALTHY condizione START or.

  • Per impostazione predefinita, FireLens aggiunge il nome della definizione del cluster e dell'attività e il nome della risorsa Amazon (ARN) del cluster come chiavi di metadati per i log del container stdout/stderr. Di seguito è riportato un esempio del formato dei metadati.

    "ecs_cluster": "cluster-name",
"ecs_task_arn": "arn:aws:ecs:region:111122223333:task/cluster-name/f2ad7dba413f45ddb4EXAMPLE",
"ecs_task_definition": "task-def-name:revision",

    Se non desideri i metadati nei tuoi log, imposta enable-ecs-log-metadata su false nella sezione firelensConfiguration della definizione di attività.

    "firelensConfiguration":{
   "type":"fluentbit",
   "options":{
      "enable-ecs-log-metadata":"false",
      "config-file-type":"file",
      "config-file-value":"/extra.conf"
}

Per utilizzare questa funzionalità, devi creare un ruolo IAM per le tue attività che fornisca le autorizzazioni necessarie per utilizzare tutti AWS i servizi richiesti dalle attività. Ad esempio, se un contenitore sta instradando i log verso Firehose, l'operazione richiede l'autorizzazione per chiamare l'API. firehose:PutRecordBatch Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM.

La tua attività potrebbe anche richiedere il ruolo di esecuzione delle attività di Amazon ECS nelle seguenti condizioni. Per ulteriori informazioni, consulta Ruolo IAM di esecuzione di attività Amazon ECS.

  • Se la tua attività è ospitata su Fargate e stai estraendo immagini di container da Amazon ECR o stai facendo riferimento AWS Secrets Manager a dati sensibili dalla tua configurazione di registro, devi includere il ruolo IAM di esecuzione dell'attività.

  • Quando utilizzi un file di configurazione personalizzato ospitato in Amazon S3, il ruolo IAM per l'esecuzione delle attività deve includere l's3:GetObjectautorizzazione.

Per informazioni su come utilizzare più file di configurazione con Amazon ECS, inclusi i file ospitati o i file in Amazon S3, consulta Processo di avvio per Fluent Bit on ECS, supporto multi-config.