服务网格ASM联合日志服务推出日志功能,支持将控制平面日志和KubeAPI操作审计日志投递到日志服务进行查询、分析。本文介绍日志功能相关的资源、费用等信息。
功能类型
控制平面组件日志:用于记录ASM控制平面向数据平面Sidecar推送配置的相关日志。您可以通过控制平面组件日志及时发现用户误配置引发的网关或代理不可用的问题。
KubeAPI操作审计日志:用于记录不同阿里云账号对Istio资源(VirtualService、Gateway、DestinationRule、EnvoyFilter、Sidecar、ServiceEntry等)的操作情况,可帮助网格管理人员记录或追溯不同用户的日常操作,是集群安全运维中的重要环节。
资产详情
专属Project和Logstore
重要在关闭日志功能前,请勿删除相关的日志服务Project和Logstore,否则将无法正常推送日志到日志服务。
若您曾开通过按写入数据量计费模式,则系统默认创建计费模式为按写入数据量计费的专属Logstore。若您需要切换至按使用功能计费模式,可修改Logstore配置。具体操作,请参见管理Logstore。
如果您在开启控制平面日志或KubeAPI操作审计日志功能时,选择使用已有Project,则系统将在该Project下生成如下专属的Logstore。
如果您在开启控制平面日志或KubeAPI操作审计日志功能时,选择使用默认Project,则系统将在主控实例所在地域生成一个名为
mesh-log-网格实例ID的Project,以及在该Project下生成如下专属的Logstore。Logstore名称
说明
istio-网格实例ID用于存储服务网格的控制平面组件日志。
audit-网格实例ID用于存储服务网格的KubeAPI操作审计日志。
专属仪表盘
仪表盘
说明
Mesh审计中心概览
用于展示服务网格的审计信息,包括事件总数、公网访问次数、非法访问次数、创建事件数、删除事件数、子账号操作分布、删除事件分布、操作轨迹等。
Mesh资源操作概览
用于展示服务网格的资源操作信息,包括VirtualService、DestinationRule、Gateway、Sidecar、EnvoyFilter、ServiceEntry等资源的创建、更新、访问和删除情况。
Mesh资源操作详细列表
用于展示服务网格资源的操作详情列表,包括操作规则、资源创建列表、资源删除列表、资源更新列表、资源访问列表等。
Mesh账号操作审计
用于以账号维度展示服务网格的操作信息,包括资源创建数、资源修改数、资源删除数、操作Namespace分布、删除资源分布、操作轨迹等。
费用说明
目前,服务网格ASM不针对日志收取费用。
当Logstore的计费模式为按使用功能计费时,服务网格ASM将日志推送到日志服务后,日志服务将根据存储空间、读取流量、请求数量、数据加工、数据投递等进行收费。更多信息,请参见按使用功能计费模式计费项。
当Logstore的计费模式为按写入数据量计费时,服务网格ASM将日志推送到日志服务后,日志服务将根据原始写入数据量等进行收费。更多信息,请参见按写入数据量计费模式计费项。
开启控制平面日志和KubeAPI操作审计日志功能
在创建服务网格时开启
登录服务网格ASM控制台。
在左侧导航栏中,选择。
在网格管理页面,单击创建新网格。
在创建服务网格页面,完成如下配置,然后单击创建服务网格。
选中可观测性配置项中的启用控制面日志采集,然后选择目标Project。
选中网格审计配置项中的启用网格审计,然后选择目标Project。
完成其他参数配置。具体操作,请参见创建ASM实例。
在已有服务网格中开启
登录服务网格ASM控制台。
在左侧导航栏中,选择。
在网格管理页面,单击目标网格实例。
在左侧导航栏中,选择。
在配置信息区域,完成如下配置。
控制面日志:单击控制面日志采集对应的开启,然后选择目标Project。
KubeAPI审计日志:单击KubeAPI审计日志对应的开启审计日志Project,然后选择目标Project。
相关操作
禁用下述日志功能后,系统不会自动删除Project及已推送的日志。因此,当您禁用日志功能后,为避免后续产生不必要的费用,请在日志服务控制台上删除对应的Project。具体操作,请参见删除Project。
操作 | 说明 |
禁用控制面日志采集功能 | 在目标网格实例的基本信息页面的配置信息区域中,单击控制面日志采集对应的禁用。 |
禁用KubeAPI审计日志采集功能 | 在目标网格实例的基本信息页面的配置信息区域中,单击KubeAPI审计日志对应的禁用。 |
后续步骤
将控制平面日志和网格审计日志投递到日志服务后,您可以在日志服务中执行查询分析、下载、投递、加工、告警等操作。具体操作,请参见云产品日志通用操作。