워크로드 모니터링 및 디버깅

워크로드를 빌드, 테스트, 실행할 때 진행 상황을 모니터링하여 문제를 디버그하는 것이 유용할 수 있습니다. 모니터링 및 디버깅에 사용할 수 있는 도구는 다음과 같습니다.

• Cloud Logging: Confidential Space 워크로드 문제 해결의 첫 번째 단계로 STDOUT 및 STDERR을 Cloud Logging으로 리디렉션한 후 워크로드 반환 코드를 확인하여 실패가 발생한 위치를 확인할 수 있습니다.

• 디버그 Confidential Space 이미지: 디버그 Confidential Space 이미지 는 워크로드가 완료된 후 워크로드를 실행하는 Confidential VM을 계속 작동 상태로 유지하고 SSH 서버를 실행합니다. 이를 통해 VM에 원격으로 로그인하여 문제를 진단할 수 있습니다. 코드가 예상대로 작동한다고 확신할 때까지 디버그 이미지를 사용하는 것이 좋습니다. 민감한 프로덕션 데이터 작업을 시작할 때는 프로덕션 Confidential Space 이미지로 전환합니다.

• 메모리 사용량 모니터링: Cloud Logging 또는 측정항목 탐색기에서 워크로드의 메모리 사용량을 볼 수 있습니다. 메모리 사용량을 추적하려면 워크로드 작성자가 허용해야 하고 워크로드 운영자가 사용 설정해야 합니다.

• 대화형 셸: SSH를 사용하여 워크로드 Confidential VM에 연결한 후 sudo ctr task exec -t --exec-id shell tee-container bash 명령어를 사용하여 컨테이너 내에서 대화형 셸을 입력하여 워크로드 문제를 진단할 수 있습니다.

로깅

모든 명령줄 프로그램과 마찬가지로 워크로드 STDOUT 및 STDERR이 콘솔에 표시될 수 있습니다. 또한 워크로드 운영자가 Confidential Space VM에서 tee-container-log-redirect 메타데이터 키를 true 또는 cloud_logging으로 설정하고 워크로드를 실행하는 서비스 계정에 logging.logWriter 역할이 있는지 확인하여 Cloud Logging으로 리디렉션할 수도 있습니다.

워크로드 작성자는 log_redirect 실행 정책을 사용하여 리디렉션을 방지할 수 있습니다.

위험 프로필을 줄이려면 최소한의 정보를 로깅하고 민감한 정보는 로깅하지 마세요.

Confidential Space 로그 보기

Confidential Space VM에 연결된 서비스 계정에 logging.logWriter 역할이 부여되고 로그를 Cloud Logging으로 리디렉션한 경우 VM 로그를 확인하여 오류를 문제 해결할 수 있습니다.

1. 콘솔의 워크로드 운영자 프로젝트에서 Logging 으로 이동합니다. Google Cloud

   Logging으로 이동

2. 쿼리 탭 옆에 있는 시간 범위를 클릭하여 보려는 로깅 기간을 설정합니다.

3. 사용 가능한 경우 다음 로그 필드를 기준으로 로그를 필터링합니다.

   • 리소스 유형: VM 인스턴스

   • 인스턴스 ID: Confidential VM의 인스턴스 ID

   • 로그 이름: confidential-space-launcher

4. 오류 메시지를 읽고 문제가 무엇인지 확인합니다. 리소스가 올바르게 설정되지 않았거나, 데이터 공동작업자의 WIP 제공업체의 속성 조건이 Confidential Space 워크로드에서 수행된 클레임과 일치하지 않거나, 워크로드 자체에 오류가 있을 수 있습니다.

반환 코드

런처 및 워크로드를 실행할 때 반환 코드가 콘솔에 표시되며 Cloud Logging으로 리디렉션될 수 있습니다.

반환 코드는 다음 표에 설명되어 있습니다.

워크로드가 실패하면 워크로드 운영자는 추가 컨텍스트 없이 workload finished with a non-zero return code 메시지만 수신합니다. 프로덕션 이미지의 경우 런처를 사용하여 실패 시 다시 시작하도록 설정할 수 있습니다. tee-restart-policy=OnFailure