1. ドキュメント
2. ロギングおよびモニタリング
3. Oracle Cloud Infrastructureロギング・サービス

Oracle Cloud Infrastructureロギング・サービス

VerrazzanoログをOracle Cloud Infrastructureロギング・サービスに送信する方法

Oracle Cloud Infrastructureロギング・サービスは、テナンシ内のすべてのログに対応した、スケーラブルでフルマネージド型の一元管理ペインです。OpenSearchではなくOracle Cloud Infrastructureロギングにログを送信するようにVerrazzanoを構成できます。一般的な情報は、Oracle Cloud Infrastructureのロギングの概要に関する項を参照してください。

カスタム・ログの設定

Verrazzanoのログは、Oracle Cloud Infrastructureのカスタム・ログに送信できます。Verrazzanoインストール・リソースには2つのOracle Cloud Infrastructureログ識別子(1つはVerrazzanoシステム・ログ用で、もう1つはアプリケーション・ログ用)を指定する必要があります。「カスタム・ログの作成」のステップに従って、2つのカスタム・ログを作成します。カスタム・ログの作成時にエージェント構成を作成しないでください。ログ・レコードが複製されてしまいます。

資格証明の構成

Verrazzanoに付属のFluentdプラグインでは、デフォルトでOracle Cloud Infrastructureのインスタンス・プリンシパル認証が使用されます。オプションで、ユーザーAPI署名キーを使用してVerrazzanoを構成できます。クラスタがOracle Cloud Infrastructureの外部で実行されている場合、Oracle Cloud Infrastructureロギングにログを送信するにはAPI署名キー認証が必要です。

InstancePrincipalCredentials UserAPICredentials

クラスタのノード・プールにコンピュート・インスタンスを含む動的グループを作成し、適切なポリシーを割り当てて、その動的グループが以前に作成したカスタム・ログにログ・エントリを送信できるようにします。必要な権限に細心の注意を払ってください。

動的グループおよびポリシーが正しく構成されていない場合、FluentdはOracle Cloud Infrastructureロギングへのログの送信に失敗します。

API署名キーがまだない場合は、Oracle Cloud Infrastructureドキュメントの必要なキーとOCIDに関する項を参照してください。資格証明の詳細を含むOracle Cloud Infrastructure構成ファイルを作成し、その構成ファイルを使用してシークレットを作成する必要があります。

Fluentd Oracle Cloud Infrastructureロギングが機能するには、次の要件を満たす必要があります:

1. Oracle Cloud Infrastructure構成ファイルのプロファイル名は、DEFAULTにする必要があります。
2. Oracle Cloud Infrastructure構成ファイルのkey_fileパスは、/root/.oci/keyにする必要があります。実際のキー・ファイルの場所は後でシークレットに指定するため、実際のキー・ファイルがその場所に存在している必要はありません。
3. FluentdプラグインがOracle Cloud Infrastructureにログを送信できるようにするには、APIキーに関連付けられたユーザーに適切なOracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーが用意されている必要があります。Oracle Cloud Infrastructureロギング・サービスで使用されるIAMポリシーについては、Oracle Cloud Infrastructureドキュメントのロギングの詳細に関する項を参照してください。

Verrazzanoプラットフォーム・オペレータがインストールされたら、Oracle Cloud Infrastructure構成ファイルおよび秘密キー・ファイルからverrazzano-installネームスペースに不透明なシークレットを作成します。構成ファイルのキーはconfigで、秘密キー・ファイル・データのキーはkeyである必要があります。

次に、シークレットを作成するkubectlコマンドの例を示します。

$ kubectl create secret generic oci-fluentd -n verrazzano-install \
      --from-file=config=/home/myuser/oci_config --from-file=key=/home/myuser/keys/oci_api.pem

シークレットは次のようになります。

apiVersion: v1
data:
  config: W0RFRkFVTFRdCnVzZXI9b2NpZDEudXN...
  key: LS0tLS1CRUdJTiBQUklWQVRFIEtFWS0tLS...
kind: Secret
metadata:
  name: oci-fluentd
  namespace: verrazzano-install
type: Opaque

便宜上、既存のOracle Cloud Infrastructure構成ファイルを指すことができるヘルパー・スクリプトがここにあり、これを使用するとシークレットが作成されます。このスクリプトを使用すると、デフォルトの構成ファイルの場所、プロファイル名、およびシークレットの名前をオーバーライドできます。

Verrazzanoのインストール

Verrazzanoのインストール中に、クラスタでOracle Cloud Infrastructureロギングが有効になります。Verrazzanoインストール・カスタム・リソースには、2つのカスタム・ログを指定するためのフィールドがあります。1つはシステム・ログ用で、もう1つはアプリケーション・ログ用です。次に、資格証明のタイプごとのVerrazzanoインストールYAMLファイルの例を示します。APIはKibanaを参照しますが、今後のリリースではパブリックAPIでOpenSearchダッシュボードが使用されます。

InstancePrincipalCredentials UserAPICredentials

apiVersion: install.verrazzano.io/v1alpha1
kind: Verrazzano
metadata:
  name: vz-oci-logging
spec:
  profile: dev
  components:
    fluentd:
      enabled: true
      oci:
        systemLogId: ocid1.log.oc1.iad.system.example
        defaultAppLogId: ocid1.log.oc1.iad.app.example
    elasticsearch:
      enabled: false
    kibana:
      enabled: false

ユーザーAPI資格証明を使用する場合、Fluentdコンポーネント設定のOracle Cloud Infrastructureセクションで、Verrazzanoカスタム・リソースのシークレットの名前を構成する必要があります。YAMLファイルは次のようになります。

apiVersion: install.verrazzano.io/v1alpha1
kind: Verrazzano
metadata:
  name: vz-oci-logging
spec:
  profile: dev
  components:
    fluentd:
      enabled: true
      oci:
        systemLogId: ocid1.log.oc1.iad.system.example
        defaultAppLogId: ocid1.log.oc1.iad.app.example
        apiSecret: oci-fluentd
    elasticsearch:
      enabled: false
    kibana:
      enabled: false

apiSecret値は、以前にユーザーAPI資格証明を構成したときに作成したシークレットと一致している必要があります。

デフォルトのログ・オブジェクトのオーバーライド

個々のネームスペースでOracle Cloud Infrastructureログ・オブジェクトをオーバーライドできます。ネームスペースにログ識別子を指定するには、verrazzano.io/oci-log-idという名前の注釈をネームスペースに追加します。注釈の値は、Oracle Cloud Infrastructureログ・オブジェクト識別子です。

次に、ネームスペースの例を示します。

apiVersion: v1
kind: Namespace
metadata:
  annotations:
    verrazzano.io/oci-log-id: ocid1.log.oc1.iad.ns.app.example
  creationTimestamp: "2022-01-14T15:09:19Z"
  labels:
    istio-injection: enabled
    verrazzano-managed: "true"
  name: example
spec:
  finalizers:
  - kubernetes
status:
  phase: Active

注釈を追加してから削除すると、ログはVerrazzanoカスタム・リソースで指定されているデフォルトのOracle Cloud Infrastructureログ・オブジェクトに戻ります。

ログの検索

Verrazzanoログの検索には、Oracle Cloud Infrastructureコンソール、Oracle Cloud Infrastructure CLIまたはOracle Cloud Infrastructure SDKを使用できます。

たとえば、Oracle Cloud Infrastructure CLIを使用して、システム・ログ内のverrazzano-application-operatorコンテナによって生成されたレコードを検索します。

$ oci logging-search search-logs --search-query=\
     "search \"ocid1.compartment.oc1..example/ocid1.loggroup.oc1.iad.example/ocid1.log.oc1.iad.example\" | \
     where \"data\".\"kubernetes.container_name\" = 'verrazzano-application-operator' | sort by datetime desc" \
     --time-start 2021-12-07 --time-end 2021-12-17

springbootネームスペース内のすべてのアプリケーション・ログ・レコードを検索します。

$ oci logging-search search-logs --search-query=\
     "search \"ocid1.compartment.oc1..example/ocid1.loggroup.oc1.iad.example/ocid1.log.oc1.iad.example\" | \
     where \"data\".\"kubernetes.namespace_name\" = 'springboot' | sort by datetime desc" \
     --time-start 2021-12-07 --time-end 2021-12-17

ログの検索の詳細は、「ロギング問合せ言語仕様」を参照してください。

トラブルシューティング

Oracle Cloud InfrastructureロギングでVerrazzanoログを確認できない場合は、クラスタ内のFluentdコンテナ・ログを確認して、エラーがあるかどうか調べます。

$ kubectl logs -n verrazzano-system -l app=fluentd --tail=-1

not authorizedエラー・メッセージが表示された場合は、Oracle Cloud Infrastructure動的グループまたはIAMポリシーに問題があり、FluentdプラグインとOracle Cloud Infrastructure APIとの通信が阻害されている可能性があります。

適切な権限が設定されていることを確認するには、Oracle Cloud Infrastructureロギングの必要な権限に関するドキュメントを確認してください。

フィードバック

このページは役に立ちましたか。

ありがとうございます。お気づきの点がございましたら、お聞かせください。

申し訳ございません。お気づきの点がございましたら、お聞かせください。