Informazioni sul logging del controllo di integrità

Puoi ottenere i log dei controlli di integrità del bilanciamento del carico quando lo stato di integrità di un endpoint cambia. Puoi utilizzare i log controllo di integrità per:

• Eseguire il debug e la risoluzione dei problemi in tempo reale dello stato di integrità dell'endpoint
• Ottenere visibilità sullo stato di integrità dell'endpoint
• Scopi di audit e conformità

I controlli di integrità registrano le informazioni sulla transizione di integrità in Logging. Puoi abilitare o disabilitare il logging in base al controllo di integrità.

Per visualizzare i log controllo di integrità in Logging, devi assicurarti che tu non abbia un'esclusione dei log che si applichi ai controlli di integrità. Per istruzioni su come verificare che GCE Instance Group e Network Endpoint Group i log siano consentiti, consulta Filtri di esclusione.

Abilitare e disabilitare il logging

Questa sezione descrive come abilitare il logging su un controllo di integrità nuovo o esistente e come disabilitare il logging su un controllo di integrità esistente.

Abilitare il logging su un nuovo controllo di integrità

gcloud compute health-checks create PROTOCOL HEALTH_CHECK_NAME \
    --enable-logging

resource "google_compute_health_check" "health_check_tcp_with_logging" {
  provider = google-beta

  name = "health-check-tcp"

  timeout_sec        = 1
  check_interval_sec = 1

  tcp_health_check {
    port = "22"
  }

  log_config {
    enable = true
  }
}

Abilitare il logging su un controllo di integrità esistente

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
    --enable-logging

Disabilitare il logging su un controllo di integrità esistente

gcloud compute health-checks update PROTOCOL HEALTH_CHECK_NAME \
    --no-enable-logging

Visualizza i log

1. Per visualizzare i log, vai a Esplora log.

   I log dei controlli di integrità vengono indicizzati in base al gruppo di istanze o al gruppo di endpoint di rete.

2. Per visualizzare tutti i log, nel menu Risorsa, seleziona GCE Instance Group o Network Endpoint Group, a seconda del tipo di backend.

3. In alternativa, incolla quanto segue nel campo Query. Sostituisci PROJECT_ID con l'ID del tuo progetto.

   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
   

Puoi configurare l'esportazione delle metriche basate su log per i controlli di integrità del bilanciatore del carico.

Utilizzare i filtri per visualizzare i log

Puoi anche ottenere i log in base a ricerche più specifiche. Ad esempio, il seguente filtro mostra tutti i log per un indirizzo IP dell'istanza di backend specificato:

  logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.ipAddress="IP_ADDRESS"

I campi dei log di tipo booleano in genere vengono visualizzati solo se hanno un valore uguale a true. Se un campo booleano ha un valore uguale a false, viene omesso dal log.

UTF-8 UTF-8 è applicata in modo forzato per i campi di log. I caratteri non UTF-8 vengono sostituiti con punti interrogativi.

Informazioni registrate nei log

Le voci di log dei controlli di integrità contengono informazioni utili per monitorare ed eseguire il debug dello stato degli endpoint. Le voci di log contengono i seguenti tipi di informazioni:

• Informazioni generali mostrate nella maggior parte dei log, come gravità, ID progetto, numero di progetto e timestamp.
• Campi specifici per i controlli di integrità, descritti nelle tabelle seguenti.

Stati del controllo di integrità

Un endpoint è considerato HEALTHY o UNHEALTHY. Questi sono gli stati di base. All'interno di ciascuno di questi stati di base, sono presenti diversi stati più dettagliati.

I NEG ibridi e i NEG internet a livello di regione che utilizzano i controlli di integrità Envoy distribuiti non supportano gli stati di integrità dettagliati.

La tabella seguente mostra il mapping tra gli stati di integrità di base e quelli dettagliati.

Le modifiche dello stato non alterano sempre il comportamento del bilanciatore del carico. Considera il seguente caso:

1. Il server fornisce la risposta errata, quindi l'endpoint è considerato UNHEALTHY.
2. Il server smette di rispondere e il nuovo stato è TIMEOUT.
3. Il bilanciatore del carico considera ancora l'endpoint UNHEALTHY perché lo stato dettagliato TIMEOUT viene mappato allo stato di base UNHEALTHY.

La tabella seguente fornisce una definizione di ogni stato di integrità.

Ogni endpoint viene sottoposto a probe da più controlli di integrità; Google Cloud le voci di log vengono deduplicate prima del logging, in modo che vengano generati solo log univoci.

Se un controllo di integrità viene riavviato, potresti occasionalmente vedere la modifica dello stato di integrità registrato da UNKNOWN a uno degli stati noti elencati in precedenza, anche se lo stato di integrità dell'endpoint non è cambiato. Google Cloud utilizza l'euristica di tipo best-effort per eliminare queste voci di log.

Se utilizzi lo svuotamento delle connessioni, i log controllo di integrità non vengono generati con lo stato di integrità dell'endpoint DRAINING. Questo perché i log dei controlli di integrità riflettono i risultati osservati dai probe dei controlli di integrità e svuotamento della connessione non influisce sui risultati osservati dal probe del controllo di integrità. Lo svuotamento delle connessioni funziona semplicemente informando il bilanciatore del carico che il nuovo stato è DRAINING e sostituisce efficacemente il vero stato di integrità dell'endpoint osservato dal controllo di integrità.

Puoi interagire con i log utilizzando l'API Cloud Logging. L'API fornisce mezzi per filtrare in modo interattivo i log in cui sono impostati campi specifici ed esportare i log corrispondenti in Cloud Logging, Cloud Storage, BigQuery o Pub/Sub. Per saperne di più sull'API Cloud Logging, consulta la panoramica dell'API Cloud Logging.

Voce di log del controllo di integrità

Il LogEntry jsonPayload viene compilato con un campo healthCheckProbeResult che contiene le seguenti informazioni.

Esempi di filtri

Questa sezione fornisce esempi di filtri di log comuni.

Trovare tutti i risultati controllo di integrità per un determinato gruppo di istanze

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"  AND
resource.type="gce_instance_group" AND
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"

Trovare tutti i risultati controllo di integrità per un determinato NEG

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"  AND
resource.type="gce_network_endpoint_group" AND
resource.labels.network_endpoint_group_id="ENDPOINT_GROUP_ID"

Trovare tutte le transizioni controllo di integrità per l'indirizzo IP dell'istanza di backend 10.128.15.201

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.ipAddress="10.128.15.201"

Trovare tutti gli endpoint che in precedenza erano HEALTHY ma ora sono TIMEOUT

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
jsonPayload.healthCheckProbeResult.previousDetailedHealthState="HEALTHY"
jsonPayload.healthCheckProbeResult.detailedHealthState="TIMEOUT"

Trovare i log di integrità da un intervallo di tempo specifico

logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fhealthchecks"
timestamp>"2019-02-14T02:20:00.0Z"
timestamp<"2019-02-14T03:30:00.0Z"

Limitazioni

• I log vengono generati solo per la transizione di integrità dell'endpoint.
• I controlli di integrità legacy non sono supportati.
• I pool di destinazione non sono supportati.
• I log non vengono generati quando lo stato di integrità dell'endpoint è UNKNOWN.
• In caso di migrazioni di VM, potresti non visualizzare voci di log generate quando l'integrità dell'endpoint passa allo stato UNHEALTHY.
• I log non vengono generati quando gli endpoint vengono eliminati. Ad esempio, quando arresti una VM.

Passaggi successivi

• Leggi le informazioni concettuali sui controlli di integrità.
• Crea un controllo di integrità.
• Scopri di più su Logging.