服務網格ASM提供日誌中心功能,支援從ASM控制台查看服務網格控制平面和資料平面日誌。啟用日誌採集後,您可以通過日誌中心查看控制平面日誌、配置基於日誌的警示規則、查看資料平面日誌和相關的Dashboard。本文介紹如何啟用控制平面日誌採集和日誌警示。
前提條件
阿里雲帳號已開通阿里雲Log ServiceSLS。具體操作,請參見開通Log Service。
重要將日誌採集到ASM的Log Service不額外收取任何費用,但Log ServiceSLS會按照寫入資料量計費或按使用功能計費。關於SLS計費的詳細說明,請參見計費概述。
資料平面叢集已安裝logtail-ds組件。具體操作,請參見啟用Log Service組件Logtail。
已添加叢集到ASM執行個體,且執行個體版本為1.17.2.35及以上。具體操作,請參見添加叢集到ASM執行個體和升級ASM執行個體。
說明若您的執行個體為1.17.2.35以下,請參見啟用控制平面日誌採集和日誌警示(舊版)。
啟用控制平面日誌採集
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在日誌中心頁面,單擊控制平面日誌頁簽,選擇建立Project或使用已有Project,進行相關配置,然後單擊啟用控制平面日誌採集,在確認對話方塊,單擊確定。
將日誌採集到Log ServiceSLS後,您可以進行以下操作。
通過控制台查看控制平面日誌。具體操作,請參見查看控制平面日誌。
啟用基於日誌的警示,及時發現控制平面問題。具體操作,請參見配置控制平面日誌警示。
若您不再需要此功能,可以在控制平面日誌頁簽的右上方,單擊關閉控制面日誌採集,在確認對話方塊,單擊確定。
查看控制平面日誌
啟用控制平面日誌採集後,由於託管側的日誌被採集到Log ServiceSLS中,您可以通過Log ServiceSLS控制台或服務網格ASM控制台整合的日誌瀏覽介面,查看或檢索控制平面日誌。
SLS分發建立需要一定時間,因此在啟用日誌後短時間內,在控制台可能會出現暫時看不到日誌的情況。
方式一:通過ASM控制台
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在日誌中心頁面,單擊控制平面日誌頁簽,查看日誌相關資訊。
方式二:通過SLS控制台
在Project列表地區,單擊目的地組群對應的Log ServiceProject名稱。
在左側日誌庫單擊目標日誌庫,然後在頁面右側,查看日誌相關資訊。
配置控制平面日誌警示
啟用控制平面日誌採集後,您可以配置控制平面日誌警示。
配置警示通知人
您可以配置SLS服務網關內建行動策略,設定警示通知接收人,通知模板等。
在Project列表地區,單擊目標Project名稱,然後在左側導覽列,單擊警示。
在警示中心頁面,單擊
。在使用者組管理頁簽,單擊SLS 服務網格內建使用者組右側操作列下的修改。
在修改使用者組對話方塊,在待新增成員地區選中目標成員,單擊表徵圖,將目標成員添加到已新增成員地區,然後單擊確認。
觸發警示通知樣本
本文限於篇幅無法覆蓋每一個警示項,以下例子將通過錯誤的配置觸發從網格控制面推送配置失敗。
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 ,然後單擊使用YAML建立。
在建立頁面,選中目標命名空間和任意情境模板,配置YAML。
本文以default命名空間為例,佈建服務網關,YAML樣本如下:
apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: gateway-test namespace: default spec: selector: istio: ingressgateway servers: - hosts: - '*console.aliyun.com' port: name: https number: 443 protocol: HTTPS tls: credentialName: not-existing-credential mode: SIMPLE
查看警示通知。
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在日誌中心頁面,單擊控制平面日誌,搜尋
ACK ERROR
,查看警示資訊。如果您配置了警示通知人的郵箱地址,可以在郵箱中查看警示通知。
警示處理建議
診斷出警告的網格配置
ASM網格診斷在您的叢集中發現了潛在有風險的網格配置,這些配置可能會導致ASM的執行結果不符合預期。您可以通過網格診斷頁面查看警示內容,並按照網格診斷頁面的提示修正錯誤的配置。更多資訊,請參見使用ASM網格診斷。
診斷出錯誤的網格配置
ASM網格診斷在您的叢集中發現了錯誤的網格配置,這些配置有較高的風險引起不符合預期的行為。您應當儘快在網格診斷頁面查看警示內容,並遵照網格診斷頁面給出的提示修正錯誤的配置。更多資訊,請參見使用ASM網格診斷。
網格規則配置不符合規範要求導致從網格控制面推送配置失敗
以下表格列出了常見的資料面同步失敗錯誤資訊和處理建議。如果您沒有找到對應的錯誤資訊,請提交工單。
錯誤資訊 | 處理建議 |
| 該警示資訊表示資料面叢集不支援您為資料面配置的認證,您需要重新設定認證。當前僅支援P-256 ECDSA認證。具體操作,請參見通過ASM網關啟用HTTPS安全服務。 |
| 該警示資訊表示您為資料面配置的憑證路徑有誤或認證不存在,您需要檢查認證掛載路徑是否與Gateway中配置的路徑相符。具體操作,請參見通過ASM網關啟用HTTPS安全服務。 |
| 該警示資訊表示您為網關配置的監聽連接埠重複,請檢查您的Gateway,重複資料刪除的連接埠。 |
| 該警示資訊表示在Sidecar和Ingressgateway中無法找到您通過EnvoyFilter針對15021這個Listener Patch的配置中引用的 |
| 該警示資訊表示即將棄用您資料面的XDS V2協議。通常是因為您的資料面Sidecar的版本與控制平面不符。升級資料平面的Sidecar可以解決該問題,您需要刪除Pod,待Pod自動重新建立後會自動注入最新版本的Sidecar。 |
認證管理處存在到期認證,可能導致網關處理TLS流量失敗
該警示提示認證管理中的認證已經到期,需要立即處理。
認證管理處存在即將到期的認證,請及時更新認證
該警示提示認證管理中的認證即將到期,需要儘快處理。
相關操作
修改控制平面日誌Project
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在日誌中心頁面的控制平面日誌頁簽下方,單擊變更記錄檔Project,在變更記錄檔Project對話方塊,按需進行修改,然後單擊確認。