全部產品
Search
文件中心

Alibaba Cloud Service Mesh:啟用控制平面日誌採集和日誌警示(新版)

更新時間:Jun 30, 2024

服務網格ASM提供日誌中心功能,支援從ASM控制台查看服務網格控制平面和資料平面日誌。啟用日誌採集後,您可以通過日誌中心查看控制平面日誌、配置基於日誌的警示規則、查看資料平面日誌和相關的Dashboard。本文介紹如何啟用控制平面日誌採集和日誌警示。

前提條件

啟用控制平面日誌採集

  1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

  2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

  3. 日誌中心頁面,單擊控制平面日誌頁簽,選擇建立Project使用已有Project,進行相關配置,然後單擊啟用控制平面日誌採集,在確認對話方塊,單擊確定

    將日誌採集到Log ServiceSLS後,您可以進行以下操作。

說明

若您不再需要此功能,可以在控制平面日誌頁簽的右上方,單擊關閉控制面日誌採集,在確認對話方塊,單擊確定

查看控制平面日誌

啟用控制平面日誌採集後,由於託管側的日誌被採集到Log ServiceSLS中,您可以通過Log ServiceSLS控制台或服務網格ASM控制台整合的日誌瀏覽介面,查看或檢索控制平面日誌。

說明

SLS分發建立需要一定時間,因此在啟用日誌後短時間內,在控制台可能會出現暫時看不到日誌的情況。

方式一:通過ASM控制台

  1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

  2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

  3. 日誌中心頁面,單擊控制平面日誌頁簽,查看日誌相關資訊。

方式二:通過SLS控制台

  1. 登入Log Service控制台

  2. Project列表地區,單擊目的地組群對應的Log ServiceProject名稱。

  3. 在左側日誌庫單擊目標日誌庫,然後在頁面右側,查看日誌相關資訊。

配置控制平面日誌警示

啟用控制平面日誌採集後,您可以配置控制平面日誌警示。

  1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

  2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

  3. 日誌中心頁面,單擊控制平面日誌頁簽,然後在左上方,單擊警示設定

  4. 控制面日誌警示設定對話方塊,按需選擇行動策略,單擊開啟警示,然後在重要提示對話方塊,單擊確認

    行動策略定義了當警示發生時如何進行通知,支援服務網格ASM內建行動策略自訂行動策略兩種類型。服務網格ASM的內建行動策略預設未設定任何通知渠道,您可以單擊設定.png表徵圖,根據引導進入阿里雲Log Service警示中心進行設定。若警示觸發,您可以參考警示處理建議對警示進行處理。

配置警示通知人

您可以配置SLS服務網關內建行動策略,設定警示通知接收人,通知模板等。

  1. 登入Log Service控制台

  2. Project列表地區,單擊目標Project名稱,然後在左側導覽列,單擊警示

  3. 警示中心頁面,單擊通知對象 > 使用者組管理

  4. 使用者組管理頁簽,單擊SLS 服務網格內建使用者組右側操作列下的修改

  5. 修改使用者組對話方塊,在待新增成員地區選中目標成員,單擊添加表徵圖,將目標成員添加到已新增成員地區,然後單擊確認修改使用者組

觸發警示通知樣本

說明

本文限於篇幅無法覆蓋每一個警示項,以下例子將通過錯誤的配置觸發從網格控制面推送配置失敗

  1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

  2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇ASM網關 > 網關規則,然後單擊使用YAML建立

  3. 建立頁面,選中目標命名空間和任意情境模板,配置YAML。

    本文以default命名空間為例,佈建服務網關,YAML樣本如下:

    apiVersion: networking.istio.io/v1beta1
    kind: Gateway
    metadata:
      name:  gateway-test
      namespace: default
    spec:
      selector:
        istio: ingressgateway
      servers:
        - hosts:
            - '*console.aliyun.com'
          port:
            name: https
            number: 443
            protocol: HTTPS
          tls:
            credentialName: not-existing-credential
            mode: SIMPLE
  4. 查看警示通知。

    1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

    2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

    3. 日誌中心頁面,單擊控制平面日誌,搜尋ACK ERROR,查看警示資訊。

      如果您配置了警示通知人的郵箱地址,可以在郵箱中查看警示通知。

警示處理建議

診斷出警告的網格配置

ASM網格診斷在您的叢集中發現了潛在有風險的網格配置,這些配置可能會導致ASM的執行結果不符合預期。您可以通過網格診斷頁面查看警示內容,並按照網格診斷頁面的提示修正錯誤的配置。更多資訊,請參見使用ASM網格診斷

診斷出錯誤的網格配置

ASM網格診斷在您的叢集中發現了錯誤的網格配置,這些配置有較高的風險引起不符合預期的行為。您應當儘快在網格診斷頁面查看警示內容,並遵照網格診斷頁面給出的提示修正錯誤的配置。更多資訊,請參見使用ASM網格診斷

網格規則配置不符合規範要求導致從網格控制面推送配置失敗

以下表格列出了常見的資料面同步失敗錯誤資訊和處理建議。如果您沒有找到對應的錯誤資訊,請提交工單

錯誤資訊

處理建議

Internal:Error adding/updating listener(s) 0.0.0.0_443: Failed to load certificate chain from <inline>, only P-256 ECDSA certificates are supported

該警示資訊表示資料面叢集不支援您為資料面配置的認證,您需要重新設定認證。當前僅支援P-256 ECDSA認證。具體操作,請參見通過ASM網關啟用HTTPS安全服務

Internal:Error adding/updating listener(s) 0.0.0.0_443: Invalid path: ****

該警示資訊表示您為資料面配置的憑證路徑有誤或認證不存在,您需要檢查認證掛載路徑是否與Gateway中配置的路徑相符。具體操作,請參見通過ASM網關啟用HTTPS安全服務

Internal:Error adding/updating listener(s) 0.0.0.0_xx: duplicate listener 0.0.0.0_xx found

該警示資訊表示您為網關配置的監聽連接埠重複,請檢查您的Gateway,重複資料刪除的連接埠。

Internal:Error adding/updating listener(s) 192.168.33.189_15021: Didn't find a registered implementation for name: '***'

該警示資訊表示在Sidecar和Ingressgateway中無法找到您通過EnvoyFilter針對15021這個Listener Patch的配置中引用的***,您需要刪除該引用。

Internal:Error adding/updating listener(s) 0.0.0.0_80: V2 (and AUTO) xDS transport protocol versions are deprecated in grpc_service ***

該警示資訊表示即將棄用您資料面的XDS V2協議。通常是因為您的資料面Sidecar的版本與控制平面不符。升級資料平面的Sidecar可以解決該問題,您需要刪除Pod,待Pod自動重新建立後會自動注入最新版本的Sidecar。

認證管理處存在到期認證,可能導致網關處理TLS流量失敗

該警示提示認證管理中的認證已經到期,需要立即處理。

認證管理處存在即將到期的認證,請及時更新認證

該警示提示認證管理中的認證即將到期,需要儘快處理。

相關操作

修改控制平面日誌Project

  1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

  2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

  3. 日誌中心頁面的控制平面日誌頁簽下方,單擊變更記錄檔Project,在變更記錄檔Project對話方塊,按需進行修改,然後單擊確認