啟用控制平面日誌採集和日誌警示 - Alibaba Cloud Service Mesh

服務網格ASM提供日誌中心功能，支援從ASM控制台查看服務網格控制平面和資料平面日誌。啟用日誌採集後，您可以通過日誌中心查看控制平面日誌、配置基於日誌的警示規則、查看資料平面日誌和相關的Dashboard。本文介紹如何啟用控制平面日誌採集和日誌警示。

前提條件

阿里雲帳號已開通阿里雲Log ServiceSLS。具體操作，請參見開通Log Service。
重要
將日誌採集到ASM的Log Service不額外收取任何費用，但Log ServiceSLS會按照寫入資料量計費或按使用功能計費。關於SLS計費的詳細說明，請參見計費概述。
資料平面叢集已安裝logtail-ds組件。具體操作，請參見啟用Log Service組件Logtail。
已添加叢集到ASM執行個體，且執行個體版本為1.17.2.35及以上。具體操作，請參見添加叢集到ASM執行個體和升級ASM執行個體。
說明
若您的執行個體為1.17.2.35以下，請參見啟用控制平面日誌採集和日誌警示（舊版）。

啟用控制平面日誌採集

登入ASM控制台，在左側導覽列，選擇服務網格 > 網格管理。
在網格管理頁面，單擊目標執行個體名稱，然後在左側導覽列，選擇可觀測管理中心 > 日誌中心。
在日誌中心頁面，單擊控制平面日誌頁簽，選擇建立Project或使用已有Project，進行相關配置，然後單擊啟用控制平面日誌採集，在確認對話方塊，單擊確定。
將日誌採集到Log ServiceSLS後，您可以進行以下操作。
- 通過控制台查看控制平面日誌。具體操作，請參見查看控制平面日誌。
- 啟用基於日誌的警示，及時發現控制平面問題。具體操作，請參見配置控制平面日誌警示。

說明

若您不再需要此功能，可以在控制平面日誌頁簽的右上方，單擊關閉控制面日誌採集，在確認對話方塊，單擊確定。

查看控制平面日誌

啟用控制平面日誌採集後，由於託管側的日誌被採集到Log ServiceSLS中，您可以通過Log ServiceSLS控制台或服務網格ASM控制台整合的日誌瀏覽介面，查看或檢索控制平面日誌。

說明

SLS分發建立需要一定時間，因此在啟用日誌後短時間內，在控制台可能會出現暫時看不到日誌的情況。

方式一：通過ASM控制台

登入ASM控制台，在左側導覽列，選擇服務網格 > 網格管理。
在網格管理頁面，單擊目標執行個體名稱，然後在左側導覽列，選擇可觀測管理中心 > 日誌中心。
在日誌中心頁面，單擊控制平面日誌頁簽，查看日誌相關資訊。

方式二：通過SLS控制台

登入Log Service控制台。
在Project列表地區，單擊目的地組群對應的Log ServiceProject名稱。
在左側日誌庫單擊目標日誌庫，然後在頁面右側，查看日誌相關資訊。

配置控制平面日誌警示

啟用控制平面日誌採集後，您可以配置控制平面日誌警示。

登入ASM控制台，在左側導覽列，選擇服務網格 > 網格管理。
在網格管理頁面，單擊目標執行個體名稱，然後在左側導覽列，選擇可觀測管理中心 > 日誌中心。
在日誌中心頁面，單擊控制平面日誌頁簽，然後在左上方，單擊警示設定。
在控制面日誌警示設定對話方塊，按需選擇行動策略，單擊開啟警示，然後在重要提示對話方塊，單擊確認。
行動策略定義了當警示發生時如何進行通知，支援服務網格ASM內建行動策略和自訂行動策略兩種類型。服務網格ASM的內建行動策略預設未設定任何通知渠道，您可以單擊表徵圖，根據引導進入阿里雲Log Service警示中心進行設定。若警示觸發，您可以參考警示處理建議對警示進行處理。

配置警示通知人

您可以配置SLS服務網關內建行動策略，設定警示通知接收人，通知模板等。

登入Log Service控制台。
在Project列表地區，單擊目標Project名稱，然後在左側導覽列，單擊警示。
在警示中心頁面，單擊通知對象 > 使用者組管理。
在使用者組管理頁簽，單擊SLS 服務網格內建使用者組右側操作列下的修改。
在修改使用者組對話方塊，在待新增成員地區選中目標成員，單擊表徵圖，將目標成員添加到已新增成員地區，然後單擊確認。

觸發警示通知樣本

說明

本文限於篇幅無法覆蓋每一個警示項，以下例子將通過錯誤的配置觸發從網格控制面推送配置失敗。

登入ASM控制台，在左側導覽列，選擇服務網格 > 網格管理。
在網格管理頁面，單擊目標執行個體名稱，然後在左側導覽列，選擇ASM網關 > 網關規則，然後單擊使用YAML建立。

在建立頁面，選中目標命名空間和任意情境模板，配置YAML。

本文以default命名空間為例，佈建服務網關，YAML樣本如下：

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name:  gateway-test
  namespace: default
spec:
  selector:
    istio: ingressgateway
  servers:
    - hosts:
        - '*console.aliyun.com'
      port:
        name: https
        number: 443
        protocol: HTTPS
      tls:
        credentialName: not-existing-credential
        mode: SIMPLE

查看警示通知。
1. 登入ASM控制台，在左側導覽列，選擇服務網格 > 網格管理。
2. 在網格管理頁面，單擊目標執行個體名稱，然後在左側導覽列，選擇可觀測管理中心 > 日誌中心。
3. 在日誌中心頁面，單擊控制平面日誌，搜尋ACK ERROR，查看警示資訊。
  如果您配置了警示通知人的郵箱地址，可以在郵箱中查看警示通知。

警示處理建議

診斷出警告的網格配置

ASM網格診斷在您的叢集中發現了潛在有風險的網格配置，這些配置可能會導致ASM的執行結果不符合預期。您可以通過網格診斷頁面查看警示內容，並按照網格診斷頁面的提示修正錯誤的配置。更多資訊，請參見使用ASM網格診斷。

診斷出錯誤的網格配置

ASM網格診斷在您的叢集中發現了錯誤的網格配置，這些配置有較高的風險引起不符合預期的行為。您應當儘快在網格診斷頁面查看警示內容，並遵照網格診斷頁面給出的提示修正錯誤的配置。更多資訊，請參見使用ASM網格診斷。

網格規則配置不符合規範要求導致從網格控制面推送配置失敗

以下表格列出了常見的資料面同步失敗錯誤資訊和處理建議。如果您沒有找到對應的錯誤資訊，請提交工單。

錯誤資訊	處理建議
`Internal:Error adding/updating listener(s) 0.0.0.0_443: Failed to load certificate chain from <inline>, only P-256 ECDSA certificates are supported`	該警示資訊表示資料面叢集不支援您為資料面配置的認證，您需要重新設定認證。當前僅支援P-256 ECDSA認證。具體操作，請參見通過ASM網關啟用HTTPS安全服務。
`Internal:Error adding/updating listener(s) 0.0.0.0_443: Invalid path: ****`	該警示資訊表示您為資料面配置的憑證路徑有誤或認證不存在，您需要檢查認證掛載路徑是否與Gateway中配置的路徑相符。具體操作，請參見通過ASM網關啟用HTTPS安全服務。
`Internal:Error adding/updating listener(s) 0.0.0.0_xx: duplicate listener 0.0.0.0_xx found`	該警示資訊表示您為網關配置的監聽連接埠重複，請檢查您的Gateway，重複資料刪除的連接埠。
`Internal:Error adding/updating listener(s) 192.168.33.189_15021: Didn't find a registered implementation for name: '***'`	該警示資訊表示在Sidecar和Ingressgateway中無法找到您通過EnvoyFilter針對15021這個Listener Patch的配置中引用的`***`，您需要刪除該引用。
`Internal:Error adding/updating listener(s) 0.0.0.0_80: V2 (and AUTO) xDS transport protocol versions are deprecated in grpc_service ***`	該警示資訊表示即將棄用您資料面的XDS V2協議。通常是因為您的資料面Sidecar的版本與控制平面不符。升級資料平面的Sidecar可以解決該問題，您需要刪除Pod，待Pod自動重新建立後會自動注入最新版本的Sidecar。

認證管理處存在到期認證，可能導致網關處理TLS流量失敗

該警示提示認證管理中的認證已經到期，需要立即處理。

認證管理處存在即將到期的認證，請及時更新認證

該警示提示認證管理中的認證即將到期，需要儘快處理。

Alibaba Cloud Service Mesh：啟用控制平面日誌採集和日誌警示（新版）