更新时间:2024-08-17 GMT+08:00

可观测性体系概述

云原生可观测性是指在云原生架构中,通过使用各种工具和技术来实现对应用程序和基础设施的监控告警、日志、故障排除等功能的一套完整的解决方案。本文介绍云容器引擎CCE可观测性架构分层和主要的可观测能力,以帮助您对CCE云原生可观测性生态有一个全面的认识。

图1 可观测性体系

从架构分层的角度,CCE可观测性分为四个层次。自下而上分别为:算力底座数据采集监控与日志云原生观测

算力底座

云容器引擎CCE支持多种类型的集群创建,包括CCE Turbo集群与CCE Standard集群,以满足您各种业务需求。CCE集群相关介绍请前往CCE产品介绍。CCE服务为不同的集群类型,提供统一的数据采集方案与一致云原生观测体验。

数据采集

指标采集:CCE提供基于Prometheus的云原生监控插件,相比于开源版本,具备轻量化,开箱即用等优势。详情请参见云原生监控插件

日志采集:CCE提供基于fluent-bit和opentelemetry的云原生日志采集插件,具备高性能,资源占用低的优点;同时支持基于CRD的日志采集策略配置,更加灵活易用。详情请参见云原生日志采集插件

监控与日志

AOM:应用运维管理(Application Operations Management,简称AOM)是云上应用的一站式立体化运维管理平台,实时监控您的应用及相关云资源,分析应用健康状态,提供灵活丰富的数据可视化功能,帮助您及时发现故障,全面掌握应用、资源及业务的实时运行状况。

LTS:云日志服务(Log Tank Service,简称LTS),用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。

云原生观测

CCE云原生观测相关的功能包括健康中心、监控中心、日志中心、告警中心等。以下分别介绍CCE云原生观测的主要功能。

  • 健康中心

    集群健康诊断基于容器运维专家经验对集群健康状况进行全面检查,能够及时发现集群故障与潜在风险并给出修复建议。

  • 监控中心

    监控中心提供不同维度的数据洞察、仪表盘等功能。监控中心提供容器视角的可视化视图,支持集群、节点、工作负载和Pod等多种维度的监控视图,支持多级下钻与关联分析。仪表盘功能内置常见的容器监控大盘,如Kubernetes APIServer组件监控、CoreDNS组件监控和PVC监控等。

  • 日志中心

    CCE日志中心集成了云日志服务LTS。启用日志采集与管理,您可以快速采集CCE控制面组件日志(kube-apiserver、kube-controller-manager、kube-scheduler)、kubernetes审计日志、Kubernetes事件容器日志(容器的标准输出、容器内的文本文件、节点日志)。

  • 告警中心

    告警中心集成应用运维管理服务AOM2.0的告警功能,提供容器告警一键开启能力,覆盖集群和容器常见故障场景。

资源权限

由于云原生观测相关的功能在运行中对监控、告警、通知服务等各类云服务资源都存在依赖关系,因此当您首次使用云原生观测相关的功能时,系统将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。

具体授予的权限如下表:

授权类型

权限名称

描述

CCE

IAM ReadOnlyAccess

监控中心、告警中心获得该权限后,支持子用户访问监控中心与告警中心,因此需要获得该权限。

CCE

Tenant Guest

监控中心、告警中心支持对集群关联的OBS、DNS等全局资源配置进行检查,提前发现配置问题,因此需要获得该权限。

CCE

CCE Administrator

监控中心、告警中心在运行过程中需要访问CCE获取集群、节点、工作负载等信息,以此来检测对应资源的健康状态,因此需要获得该权限。

CCE

SWR Administrator

监控中心、告警中心在运行过程中需要访问SWR获取镜像信息,因此需要获得该权限。

CCE

SMN Administrator

监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。

CCE

AOM Administrator

监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。

CCE

LTS Administrator

监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。

AOM

DMS UserAccess

AOM支持用户通过DMS获取数据订阅的功能,因此需要获得该权限。

AOM

ECS CommonOperations

AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。

AOM

CES ReadOnlyAccess

AOM支持从CES同步监控指标数据,因此需要获得该权限。

AOM

CCE FullAccess

AOM支持从CCE同步容器监控指标数据,因此需要获得访问权限。

AOM

RMS ReadOnlyAccess

AOM的CMDB支持管理云服务实例数据,因此需要获得该权限。

AOM

ECS ReadOnlyAccess

AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。

AOM

LTS FullAccess

AOM支持访问LTS数据,因此需要获得该权限。

AOM

CCI FullAccess

AOM支持从CCI同步容器监控指标数据,因此需要获得该权限。

当您同意授权后,将在IAM中自动创建账号委托,将账号内的其他资源操作权限委托给华为云CCE服务和华为云AOM服务进行操作。关于委托详情,您可参考委托其他云服务管理资源进行了解。自动创建的委托如下:

  • cia_admin_trust

    cia_admin_trust委托具有全局的Tenant Guest、IAM ReadOnlyAccess权限,区域级的Tenant Guest、CCE Administrator、SWR Administrator权限,用于对云原生观测功能所依赖的其他云服务资源进行调用。

    如果您在多个区域中使用CCE服务的云原生观测功能,则需在每个区域中分别申请Tenant Guest、CCE Administrator、SWR Administrator的云资源权限。您可前往“IAM控制台 > 委托”页签,单击“cia_admin_trust”查看各区域的授权记录。

  • aom_admin_trust

    aom_admin_trust委托的说明请参见AOM云服务授权

由于云原生观测功能对其他云服务有许多依赖,如果没有所需的权限,可能会因为某个服务权限不足而影响云原生观测功能的正常使用。因此在使用云原生观测功能期间,请不要自行删除或者修改“cia_admin_trust”、“aom_admin_trust”委托。