Red Hat SummitLogging
OpenShift Container Platform でのログの設定と使用
概要
第1章 Logging 6.0
1.1. リリースノート
1.1.1. Logging 6.0.2
このリリースには RHBA-2024:10051 が含まれています。
1.1.1.1. バグ修正
- この更新前は、Loki が一部の設定を正しくロードしなかったため、Alibaba Cloud または IBM Cloud オブジェクトストレージを使用するときに問題が発生していました。この更新により、Loki の設定読み込みコードが修正され、問題が解決されます。(LOG-5325)
- この更新前は、コレクターが設定されたしきい値を超えた監査ログメッセージを破棄していました。この更新により、最大行サイズと読み取りサイクル中に読み取られるバイト数の監査設定しきい値が変更されます。(LOG-5998)
- この更新前は、Cluster Logging Operator が、以前のリリースのように ClusterLogForwarder のインスタンスに関連付けられたリソースを監視および調整していませんでした。この更新により、Operator が変更され、所有および作成するすべてのリソースを監視および調整するようになります。(LOG-6264)
- この更新前は、重大度レベルが不明なログイベントが Google Cloud Logging に送信されると、Vector コレクターで警告がトリガーされ、重大度がデフォルトで 'DEFAULT' に設定されていました。この更新により、ログの重大度レベルが Google Cloud Logging 仕様に合わせて標準化され、監査ログに 'INFO' の重大度が割り当てられるようになりました。(LOG-6296)
-
この更新前は、インフラストラクチャー namespace がアプリケーション入力に含まれている場合、
log_typeがapplicationに設定されていました。この更新により、アプリケーション入力に含まれるインフラストラクチャー namespace のlog_typeが、infrastructureに設定されるようになります。(LOG-6354) -
この更新前は、ClusterLogForwarder の
syslog.enrichmentフィールドに値を指定すると、コンテナー以外のログのメッセージにnamespace_name、container_name、およびpod_nameが追加されていました。この更新により、syslog.enrichmentが設定されている場合に、コンテナーログのメッセージにのみnamespace_name、container_name、およびpod_nameが含まれるようになります。(LOG-6402)
1.1.1.2. CVE
1.1.2. Logging 6.0.1
このリリースには、OpenShift Logging バグ修正リリース 6.0.1 が含まれています。
1.1.2.1. バグ修正
- この更新により、コレクターのデフォルトのメモリー制限が 1024 Mi から 2024 Mi に増加します。ただし、ユーザーはクラスターの仕様とニーズに応じてリソース制限を調整する必要があります。(LOG-6180)
-
この更新前は、Loki Operator はすべての
AlertingRuleリソースにデフォルトのnamespaceラベルを追加できなかったため、User-Workload-Monitoring Alertmanager がこれらのアラートのルーティングをスキップしていました。この更新では、すべてのアラートルールおよび記録ルールにルール namespace がラベルとして追加されます。これにより問題が解決され、Alertmanager での適切なアラートルーティングが復元されます。(LOG-6151) - この更新前は、LokiStack ルーラーコンポーネントビューが適切に初期化されず、ルーラーコンポーネントが無効になっているときに無効フィールドエラーが発生しました。この更新により、コンポーネントビューが空の値で初期化されるようになり、問題は解決されます。(LOG-6129)
-
この更新前は、prune フィルターで
log_sourceを設定でき、そのためにログデータの一貫性が失われる可能性がありました。この更新により、設定は適用前に検証され、prune フィルターにlog_sourceが含まれる設定はすべて拒否されます。(LOG-6202)
1.1.2.2. CVE
1.1.3. Logging 6.0.0
このリリースには、Logging for Red Hat OpenShift バグ修正リリース 6.0.0 が含まれています。
Logging は、コアの OpenShift Container Platform とは異なるリリースサイクルで、インストール可能なコンポーネントとして提供されます。Red Hat OpenShift Container Platform ライフサイクルポリシー は、リリースの互換性を概説しています。
| Logging バージョン | コンポーネントのバージョン | |||||
|---|---|---|---|---|---|---|
| Operator |
|
|
|
|
|
|
| 6.0 | 0.4 | 1.1 | 3.1.0 | 0.1 | 0.1 | 0.37.1 |
1.1.4. 削除通知
elasticsearch-operator によって管理される Elasticsearch と Kibana を引き続き使用するには、管理者は ClusterLogging リソースを削除する前に、それらのオブジェクトの ownerRefs を変更する必要があります。
1.1.5. 新機能および機能拡張
-
この機能は、ストレージ、視覚化、収集などのコンポーネントの責任を関連する Operator に移すことで、Red Hat OpenShift のロギング用の新しいアーキテクチャーを導入します。ログの収集および転送用の
ClusterLogForwarder.observability.openshift.ioAPI を導入します。ClusterLogging.logging.openshift.ioおよびClusterLogForwarder.logging.openshift.ioAPI のサポートと、Red Hat Managed Elastic スタック (Elasticsearch および Kibana) のサポートが削除されました。ログの保存には Red HatLokiStackへの移行が推奨されます。既存の Managed Elasticsearch デプロイメントは、限られた期間使用できます。ログ収集の自動移行は提供されていないため、管理者は新しい ClusterLogForwarder.observability.openshift.io 仕様を作成して、以前のカスタムリソースを置き換える必要があります。詳細は、公式の製品ドキュメントを参照してください。(LOG-3493) - このリリースにより、ロギングビュープラグインのデプロイの責任が Red Hat OpenShift Logging Operator から Cluster Observability Operator (COO) に移行します。視覚化が必要な新しいログストレージのインストールでは、Cluster Observability Operator と関連する UIPlugin リソースをデプロイする必要があります。詳細は、製品ドキュメントの Cluster Observability Operator の概要 を参照してください。(LOG-5461)
- この機能拡張により、Vector ドキュメントの推奨事項に基づいて、Vector コレクターのデプロイメントのメモリーと CPU 使用量のデフォルトの要求と制限が設定されます。(LOG-4745)
- この機能拡張により、アップストリームバージョン v0.37.1 に合わせて Vector が更新されます。(LOG-5296)
- この機能拡張により、ログコレクターがログをノードのファイルシステムにバッファーし、利用可能な領域の 15% 超を使用する場合にトリガーするアラートが導入され、バックプレッシャーの問題の可能性を示すようになりました。(LOG-5381)
- この機能拡張により、すべてのコンポーネントのセレクターが更新され、共通の Kubernetes ラベルが使用されます。(LOG-5906)
- この機能拡張により、コレクター設定がシークレットではなく ConfigMap としてデプロイされるように変更され、ClusterLogForwarder が Unmanaged に設定されている場合にユーザーが設定を表示および編集できるようになります。(LOG-5599)
- この機能拡張により、trace、debug、info、warn、error、または off などのオプションと共に、ClusterLogForwarder のアノテーションを使用して Vector コレクターログレベルを設定する機能が追加されました。(LOG-5372)
- この機能拡張により、Amazon CloudWatch 出力で複数の AWS ロールが使用される設定を拒否するための検証が追加され、誤ったログルーティングが防止されます。(LOG-5640)
- この機能拡張により、メトリクスダッシュボードから Log Bytes Collected および Log Bytes Sent グラフが削除されます。(LOG-5964)
- この機能拡張により、must-gather 機能が更新され、ClusterLogForwarder.observability.openshift.io リソースから Red Hat Managed LokiStack など、Logging 6.0 コンポーネントを検査するための情報のみがキャプチャーされるようになりました。(LOG-5949)
- この機能拡張により、特定のエラー状態に対する早期警告が提供され、Azure ストレージシークレットの検証が改善されます。(LOG-4571)
1.1.6. テクノロジープレビュー機能
- このリリースでは、OpenTelemetry を使用したログ転送のテクノロジープレビュー機能が導入されています。新しい出力タイプ `OTLP` を使用すると、OpenTelemetry データモデルとリソースのセマンティック規則を使用して、JSON でエンコードされたログレコードを送信できます。(LOG-4225)
1.1.7. バグ修正
-
この更新前は、
CollectorHighErrorRateおよびCollectorVeryHighErrorRateアラートがまだ存在していました。この更新により、両方のアラートが logging 6.0 リリースで削除されましたが、今後のリリースで復活する可能性はあります。(LOG-3432)
1.1.8. CVE
1.2. Logging 6.0
ClusterLogForwarder カスタムリソース (CR) は、ログの収集と転送の中心的な設定ポイントです。
1.2.1. 入力および出力
入力では、転送するログのソースを指定します。Logging には、クラスターのさまざまな部分からログを選択する組み込みの入力タイプ (application、infrastructure、および audit) が用意されています。namespace または Pod ラベルに基づいてカスタム入力を定義し、ログの選択を微調整することもできます。
出力は、ログが送信される宛先を定義します。各出力タイプには独自の設定オプションセットがあり、動作と認証設定をカスタマイズできます。
1.2.2. レシーバー入力タイプ
レシーバー入力タイプにより、Logging システムは外部ソースからのログを受け入れることができます。ログを受信するための 2 つの形式 (http と syslog) がサポートされます。
ReceiverSpec は、レシーバー入力の設定を定義します。
1.2.3. パイプラインとフィルター
パイプラインは、入力から出力へのログのフローを決定します。パイプラインは、1 つ以上の入力参照、出力参照、およびオプションのフィルター参照で構成されます。フィルターを使用して、パイプライン内のログメッセージを変換または削除できます。フィルターは順番に適用されるため、フィルターの順序は重要であり、最初の方のフィルターを使用すると、ログメッセージが後のステージに到達するのを防ぐことができます。
1.2.4. Operator の行動
Cluster Logging Operator は、managementState フィールドに基づいて、コレクターのデプロイメントと設定を管理します。
-
Managed(デフォルト) に設定すると、Operator は仕様で定義された設定に一致するように、ロギングリソースをアクティブに管理します。 -
Unmanagedに設定すると、Operator はアクションを実行せず、ロギングコンポーネントを手動で管理できます。
1.2.5. 検証
ロギングには、スムーズでエラーのない設定エクスペリエンスを確保するために、広範な検証ルールやデフォルト値が含まれます。ClusterLogForwarder リソースは、必須フィールド、フィールド間の依存関係、および入力値の形式の検証チェックを強制します。特定のフィールドにはデフォルト値が提供されるため、一般的なシナリオで明示的な設定を行う必要性が軽減されます。
1.2.5.1. クイックスタート
前提条件
- クラスター管理者のパーミッション。
手順
-
OperatorHub から
OpenShift LoggingおよびLokiOperator をインストールします。 openshift-loggingnamespace にLokiStackカスタムリソース (CR) を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow コレクターのサービスアカウントを作成します。
oc create sa collector -n openshift-logging
$ oc create sa collector -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow コレクター用の
ClusterRoleを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ClusterRoleをサービスアカウントにバインドします。oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collector
$ oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Cluster Observability Operator をインストールします。
Observe タブの Log セクションを有効にするには、
UIPluginを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow コレクターサービスアカウントにロールを追加します。
oc project openshift-logging oc adm policy add-cluster-role-to-user collect-application-logs -z collector oc adm policy add-cluster-role-to-user collect-audit-logs -z collector oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collector
$ oc project openshift-logging $ oc adm policy add-cluster-role-to-user collect-application-logs -z collector $ oc adm policy add-cluster-role-to-user collect-audit-logs -z collector $ oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow ログ転送を設定するには、
ClusterLogForwarderCR を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - OpenShift Web コンソールの Observe タブの Log セクションにログが表示されていることを確認します。
1.3. Logging 6.0 へのアップグレード
Logging v6.0 は以前のリリースからの大幅なアップグレードであり、Cluster Logging の長年の目標のいくつかを達成しています。
- ロギングコンポーネント (collectors、storage、visualization など) を管理するための個別の Operator の導入。
- Elastic 製品 (Elasticsearch、Kibana など) に基づく管理ログストレージと視覚化のサポートが削除されました。
- Fluentd ログコレクター実装の非推奨化。
-
ClusterLogging.logging.openshift.ioおよびClusterLogForwarder.logging.openshift.ioリソースのサポートが削除されました。
cluster-logging-operator は、自動アップグレードプロセスを提供しません。
ログの収集、転送、およびストレージのさまざまな設定を指定すると、cluster-logging-operator によって自動アップグレードは提供されません。このドキュメントは、管理者が既存の ClusterLogging.logging.openshift.io および ClusterLogForwarder.logging.openshift.io仕様を新しい API に変換する際に役立ちます。一般的なユースケース向けに移行された ClusterLogForwarder.observability.openshift.io リソースの例が含まれています。
1.3.1. oc explain コマンドの使用
oc explain コマンドは、カスタムリソース (CR) 内のフィールドの詳細な説明を提供する OpenShift CLI oc の重要なツールです。このコマンドは、OpenShift クラスターのリソースを設定またはトラブルシューティングする管理者および開発者にとって非常に重要です。
1.3.1.1. リソースの説明
oc explain は、特定のオブジェクトに関連するすべてのフィールドの詳細な説明を提供します。これには、Pod やサービスなどの標準リソースだけでなく、ステートフルセットや Operator によって定義されたカスタムリソースなどのより複雑なエンティティーも含まれます。
ClusterLogForwarder カスタムリソースの outputs フィールドのドキュメントを表示するには、以下を使用します。
oc explain clusterlogforwarders.observability.openshift.io.spec.outputs
$ oc explain clusterlogforwarders.observability.openshift.io.spec.outputs
clusterlogforwarder の代わりに、短い形式の obsclf を使用できます。
これにより、これらのフィールドの詳細情報 (タイプ、デフォルト値、関連するサブフィールドなど) が表示されます。
1.3.1.2. 階層構造
このコマンドは、リソースフィールドの構造を階層形式で表示し、さまざまな設定オプション間の関係を明確にします。
たとえば、LokiStack カスタムリソースの storage 設定をドリルダウンする方法を次に示します。
oc explain lokistacks.loki.grafana.com oc explain lokistacks.loki.grafana.com.spec oc explain lokistacks.loki.grafana.com.spec.storage oc explain lokistacks.loki.grafana.com.spec.storage.schemas
$ oc explain lokistacks.loki.grafana.com
$ oc explain lokistacks.loki.grafana.com.spec
$ oc explain lokistacks.loki.grafana.com.spec.storage
$ oc explain lokistacks.loki.grafana.com.spec.storage.schemas各コマンドは、リソース仕様のより深いレベルを表示し、構造を明確にします。
1.3.1.3. タイプ情報
oc explain は、各フィールドのタイプ (文字列、整数、ブール値など) も示すため、リソース定義で正しいデータタイプが使用されていることを確認できます。
以下に例を示します。
oc explain lokistacks.loki.grafana.com.spec.size
$ oc explain lokistacks.loki.grafana.com.spec.size
これは、整数値を使用して size を定義する必要があることを示しています。
1.3.1.4. デフォルト値
該当する場合は、コマンドはフィールドのデフォルト値を表示し、明示的に指定されていない場合に使用される値に関する洞察を提供します。
ここでも、例として lokistacks.loki.grafana.com を使用します。
oc explain lokistacks.spec.template.distributor.replicas
$ oc explain lokistacks.spec.template.distributor.replicas出力例
1.3.2. ログのストレージ
このリリースで利用できる唯一のマネージドログストレージソリューションは、loki-operator によって管理される Lokistack です。以前は Managed Elasticsearch オファリングの優先される代替手段として利用可能だったこのソリューションは、デプロイメントプロセスで変更されないままとなります。
elasticsearch-operator によって提供される既存の Red Hat Managed Elasticsearch または Kibana デプロイメントを引き続き使用するには、openshift-logging namespace の elasticsearch という名前の Elasticsearch リソースと kibana という名前の Kibana リソースから所有者参照を削除してから、同じ namespace の instance という名前の ClusterLogging リソースを削除します。
ClusterLogging を一時的に
Unmanaged状態に設定します。oc -n openshift-logging patch clusterlogging/instance -p '{"spec":{"managementState": "Unmanaged"}}' --type=merge$ oc -n openshift-logging patch clusterlogging/instance -p '{"spec":{"managementState": "Unmanaged"}}' --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow Elasticsearch リソースから ClusterLogging
ownerReferencesを削除します。次のコマンドは、ClusterLogging が Elasticsearch リソースを所有していないことを確認します。ClusterLogging リソースの
logStoreフィールドが更新されても、Elasticsearch リソースには影響しなくなります。oc -n openshift-logging patch elasticsearch/elasticsearch -p '{"metadata":{"ownerReferences": []}}' --type=merge$ oc -n openshift-logging patch elasticsearch/elasticsearch -p '{"metadata":{"ownerReferences": []}}' --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kibana リソースから ClusterLogging
ownerReferencesを削除します。次のコマンドは、ClusterLogging が Kibana リソースを所有していないことを確認します。ClusterLogging リソースの
visualizationフィールドが更新されても、Kibana リソースには影響しなくなります。oc -n openshift-logging patch kibana/kibana -p '{"metadata":{"ownerReferences": []}}' --type=merge$ oc -n openshift-logging patch kibana/kibana -p '{"metadata":{"ownerReferences": []}}' --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
ClusterLogging を
Managedに設定します。
oc -n openshift-logging patch clusterlogging/instance -p '{"spec":{"managementState": "Managed"}}' --type=merge
$ oc -n openshift-logging patch clusterlogging/instance -p '{"spec":{"managementState": "Managed"}}' --type=merge1.3.3. ログの視覚化
ログ視覚化用の OpenShift コンソール UI プラグインは、cluster-logging-operator から cluster-observability-operator に移動されました。
1.3.4. ログの収集および転送
ログ収集と転送の設定は、observability.openshift.io API グループの一部である新しい API で指定されるようになりました。次のセクションでは、古い API リソースとの違いを説明します。
Vector は唯一のサポートされているコレクター実装です。
1.3.5. 管理、リソース割り当て、ワークロードのスケジュール
管理状態 (マネージド、マネージド以外など)、リソース要求と制限、toleration、およびノード選択の設定が、新しい ClusterLogForwarder API の一部になりました。
以前の設定
現在の設定
1.3.6. 入力仕様
入力仕様は、ClusterLogForwarder 仕様のオプション部分です。管理者は引き続き、application、infrastructure、audit の定義済み値を使用して、これらのソースを収集できます。
1.3.6.1. アプリケーション入力
namespace とコンテナーの包含と除外が 1 つのフィールドに統合されました。
5.9 namespace とコンテナーの包含と除外を含むアプリケーション入力
6.0 namespace とコンテナーの包含と除外を含むアプリケーション入力
application、infrastructure、audit は予約語であり、入力を定義する際は名前として使用できません。
1.3.6.2. Input Receiver
Input Receiver への変更は次のとおりです。
- レシーバーレベルでのタイプの明示的な設定。
- ポート設定がレシーバーレベルに移動されました。
5.9 Input Receiver
6.0 Input Receiver
1.3.7. 出力仕様
出力仕様に対する高レベルの変更には以下が含まれます。
- URL 設定が各出力タイプの仕様に移動されました。
- チューニングパラメーターが各出力タイプの仕様に移動されました。
- TLS 設定と認証の分離。
- TLS および認証用のキーとシークレット/configmap の明示的な設定。
1.3.8. シークレットと TLS 設定
シークレットと TLS 設定は、各出力の認証と TLS 設定に分離されました。管理者が認識されたキーを使用してシークレットを定義するのではなく、仕様で明示的に定義する必要があります。TLS と認可設定をアップグレードするには、管理者は既存のシークレットを引き続き使用するために、以前に認識されたキーを理解する必要があります。次のセクションの例では、ClusterLogForwarder シークレットを設定して、既存の Red Hat 管理のログストレージソリューションに転送する方法を詳しく説明します。
1.3.9. Red Hat Managed Elasticsearch
v5.9 Red Hat Managed Elasticsearch への転送
v6.0 Red Hat Managed Elasticsearch への転送
この例では、アプリケーションログは app-write ではなく application-write エイリアス/インデックスに書き込まれます。
1.3.10. Red Hat Managed LokiStack
v5.9 Red Hat Managed LokiStack への転送
v6.0 Red Hat Managed LokiStack への転送
1.3.11. フィルターとパイプラインの設定
パイプライン設定では、入力ソースから出力先へのルーティングのみが定義され、必要な変換はフィルターとして個別に設定されるようになりました。以前のリリースのパイプラインのすべての属性は、このリリースではフィルターに変換されています。個々のフィルターは filters 仕様で定義され、パイプラインによって参照されます。
5.9 Filters
6.0 Filter の設定
1.3.12. 検証とステータス
ほとんどの検証は、リソースが作成または更新されたときに実行され、即時のフィードバックが提供されます。これは、作成後に検証が行われ、リソースのステータスを検査する必要があった以前のリリースからの移行になります。作成時または更新時に検証できない場合は、引き続き作成後に一部の検証が行われます。
Operator がログコレクターをデプロイする前に、ClusterLogForwarder.observability.openshift.io のインスタンスが、Authorized、Valid、Ready の条件を満たしている必要があります。これらの条件の例は次のとおりです。
6.0 ステータス条件
条件が満たされ、適用可能な場合の "ステータス" 値は "True" になります。ステータスが "True" 以外の条件は、理由と問題を説明するメッセージを提供します。
1.4. ログ転送の設定
ClusterLogForwarder (CLF) を使用すると、ユーザーはさまざまな宛先へのログの転送を設定できます。さまざまなソースからログメッセージを選択し、それらを変換またはフィルタリングできるパイプラインを介して送信して、1 つ以上の出力に転送する柔軟な方法を提供します。
ClusterLogForwarder の主な機能
- 入力を使用してログメッセージを選択する
- 出力を使用してログを外部の宛先に転送する
- フィルターを使用してログメッセージをフィルタリング、変換、およびドロップする
- 入力、フィルター、出力を接続するログ転送パイプラインを定義する
1.4.1. ログ収集のセットアップ
このリリースの Cluster Logging では、管理者が ClusterLogForwarder に関連付けられたサービスアカウントにログ収集権限を明示的に付与する必要があります。これは、ClusterLogging およびオプションで ClusterLogForwarder.logging.openshift.io リソースで構成されるレガシーロギングシナリオでは、以前のリリースでは必要ありませんでした。
Red Hat OpenShift Logging Operator は、collect-audit-logs、collect-application-logs、collect-infrastructure-logs クラスターロールを提供します。これにより、コレクターは監査ログ、アプリケーションログ、およびインフラストラクチャーログをそれぞれ収集できます。
必要なクラスターロールをサービスアカウントにバインドして、ログ収集をセットアップします。
1.4.1.1. レガシーサービスアカウント
既存のレガシーサービスアカウント logcollector を使用するには、次の ClusterRoleBinding を作成します。
oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollectorさらに、監査ログを収集する場合は、次の ClusterRoleBinding を作成します。
oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector1.4.1.2. サービスアカウントの作成
前提条件
-
Red Hat OpenShift Logging Operator が
openshift-loggingnamespace にインストールされている。 - 管理者権限がある。
手順
- コレクターのサービスアカウントを作成します。認証にトークンを必要とするストレージにログを書き込む場合は、サービスアカウントにトークンを含める必要があります。
適切なクラスターロールをサービスアカウントにバインドします。
バインドコマンドの例
oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>
$ oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.1.2.1. サービスアカウントのクラスターロールバインディング
role_binding.yaml ファイルは、ClusterLogging Operator の ClusterRole を特定の ServiceAccount にバインドし、クラスター全体で Kubernetes リソースを管理できるようにします。
- 1
- roleRef: バインディングが適用される ClusterRole を参照します。
- 2
- apiGroup: RBAC API グループを示し、ClusterRole が Kubernetes の RBAC システムの一部であることを指定します。
- 3
- kind: 参照されるロールがクラスター全体に適用される ClusterRole であることを指定します。
- 4
- name: ServiceAccount にバインドされる ClusterRole の名前 (ここでは cluster-logging-operator)。
- 5
- subjects: ClusterRole から権限が付与されるエンティティー (ユーザーまたはサービスアカウント) を定義します。
- 6
- kind: サブジェクトが ServiceAccount であることを指定します。
- 7
- Name: 権限が付与される ServiceAccount の名前。
- 8
- namespace: ServiceAccount が配置されている namespace を示します。
1.4.1.2.2. アプリケーションログの書き込み
write-application-logs-clusterrole.yaml ファイルは、Loki ロギングアプリケーションにアプリケーションログを書き込む権限を付与する ClusterRole を定義します。
1.4.1.2.3. 監査ログの書き込み
write-audit-logs-clusterrole.yaml ファイルは、Loki ロギングシステムに監査ログを作成する権限を付与する ClusterRole を定義します。
- 1 1
- rules: この ClusterRole によって付与される権限を定義します。
- 2 2
- apiGroups: API グループ loki.grafana.com を指定します。
- 3 3
- loki.grafana.com: Loki ロギングリソースを管理する API グループ。
- 4 4
- resources: このロールが管理するリソースタイプ (この場合は audit) を指します。
- 5 5
- audit: ロールが Loki 内の監査ログを管理することを指定します。
- 6 6
- resourceNames: ロールがアクセスできる特定のリソースを定義します。
- 7 7
- logs: このロールで管理できるログを指します。
- 8 8
- verbs: リソースで許可されるアクション。
- 9 9
- create: 新しい監査ログを作成する権限を付与します。
1.4.1.2.4. インフラストラクチャーログの書き込み
write-infrastructure-logs-clusterrole.yaml ファイルは、Loki ロギングシステムにインフラストラクチャーログを作成する権限を付与する ClusterRole を定義します。
YAML 例
- 1
- ルール: この ClusterRole が付与する権限を指定します。
- 2
- apiGroups: Loki 関連リソースの API グループを指定します。
- 3
- loki.grafana.com: Loki ロギングシステムを管理する API グループ。
- 4
- resources: このロールが対話できるリソースタイプを定義します。
- 5
- infrastructure: このロールが管理するインフラストラクチャー関連のリソースを指します。
- 6
- resourceNames: このロールが管理できるリソースの名前を指定します。
- 7
- logs: インフラストラクチャーに関連するログリソースを指します。
- 8
- verbs: このロールによって許可されるアクションです。
- 9
- create: Loki システムにインフラストラクチャーログを作成する権限を付与します。
1.4.1.2.5. ClusterLogForwarder 編集者ロール
clusterlogforwarder-editor-role.yaml ファイルは、ユーザーが OpenShift で ClusterLogForwarders を管理できるようにする ClusterRole を定義します。
- 1
- ルール: この ClusterRole が付与する権限を指定します。
- 2
- apiGroups: OpenShift 固有の API グループを指します。
- 3
- obervability.openshift.io: ロギングなどの可観測性リソースを管理するための API グループ。
- 4
- resources: このロールが管理できるリソースを指定します。
- 5
- clusterlogforwarders: OpenShift のログ転送リソースを指します。
- 6
- verbs: ClusterLogForwarders で許可されるアクションを指定します。
- 7
- create: 新しい ClusterLogForwarders を作成する権限を付与します。
- 8
- delete: 既存の ClusterLogForwarders を削除する権限を付与します。
- 9
- get: 特定の ClusterLogForwarders に関する情報を取得する権限を付与します。
- 10
- list: すべての ClusterLogForwarders のリスト表示を許可します。
- 11
- patch: ClusterLogForwarders を部分的に変更する権限を付与します。
- 12
- update: 既存の ClusterLogForwarders を更新する権限を付与します。
- 13
- watch: ClusterLogForwarders への変更を監視する権限を付与します。
1.4.2. コレクターのログレベルの変更
コレクターでログレベルを変更するには、observability.openshift.io/log-level アノテーションを trace、debug、info、warn、error、および off に設定します。
ログレベルアノテーションの例
1.4.3. Operator の管理
ClusterLogForwarder リソースには、Operator がリソースをアクティブに管理するか、管理対象外のままにするかを制御する managementState フィールドがあります。
- Managed
- (デフォルト) Operator は、CLF 仕様の目的の状態に一致するようにロギングリソースを駆動します。
- 管理対象外
- Operator は、ロギングコンポーネントに関連するアクションを一切実行しません。
これにより、管理者は managementState を Unmanaged に設定して、ログ転送を一時的に停止できます。
1.4.4. ClusterLogForwarder の構造
CLF には、次の主要コンポーネントを含む spec セクションがあります。
- Inputs
-
転送するログメッセージを選択します。組み込みの入力タイプである
application、infrastructure、およびauditは、クラスターのさまざまな部分からログを転送します。カスタム入力を定義することもできます。 - 出力
- ログを転送する宛先を定義します。各出力には、一意の名前とタイプ固有の設定があります。
- Pipelines
- ログが入力からフィルターを経由して出力されるまでのパスを定義します。パイプラインには一意の名前があり、入力名、出力名、フィルター名のリストで構成されます。
- Filters
- パイプライン内のログメッセージを変換またはドロップします。ユーザーは、特定のログフィールドに一致するフィルターを定義し、メッセージをドロップまたは変更できます。フィルターはパイプラインで指定された順序で適用されます。
1.4.4.1. Inputs
入力は spec.inputs の下の配列で設定されます。組み込みの入力タイプは 3 つあります。
- application
-
default、openshiftなどのインフラストラクチャー namespace や、kube-またはopenshift-の接頭辞を持つ namespace 内のログを除いた、すべてのアプリケーションコンテナーからログを選択します。 - infrastructure
-
defaultおよびopenshiftnamespace とノードログで実行されているインフラストラクチャーコンポーネントからログを選択します。 - audit
- OpenShift API サーバー監査ログ、Kubernetes API サーバー監査ログ、ovn 監査ログ、および auditd からのノード監査ログからログを選択します。
ユーザーは、特定の namespace からログを選択するか、または Pod ラベルを使用してログを選択する application のカスタム入力を定義できます。
1.4.4.2. 出力
出力は spec.outputs の下の配列で構成されます。各出力には一意の名前とタイプが必要です。サポートされているタイプは次のとおりです。
- azureMonitor
- ログを Azure Monitor に転送します。
- cloudwatch
- ログを AWS CloudWatch に転送します。
- elasticsearch
- ログを外部の Elasticsearch インスタンスに転送します。
- googleCloudLogging
- ログを Google Cloud Logging に転送します。
- http
- ログを汎用 HTTP エンドポイントに転送します。
- kafka
- ログを Kafka ブローカーに転送します。
- loki
- ログを Loki ロギングバックエンドに転送します。
- lokistack
- ログを、OpenShift Container Platform 認証インテグレーションによる Loki と Web プロキシーのロギングがサポートされている組み合わせに転送します。LokiStack のプロキシーは、OpenShift Container Platform 認証を使用してマルチテナンシーを適用します。
- otlp
- OpenTelemetry プロトコルを使用してログを転送します。
- splunk
- ログを Splunk に転送します。
- syslog
- ログを外部の syslog サーバーに転送します。
各出力タイプには独自の設定フィールドがあります。
1.4.4.3. Pipelines
パイプラインは spec.pipelines の下の配列で設定されます。各パイプラインには一意の名前があり、次の要素で構成される必要があります。
- inputRefs
- このパイプラインにログを転送する入力の名前。
- outputRefs
- ログを送信する出力の名前。
- filterRefs
- (オプション) 適用するフィルターの名前。
filterRef の順序は、順次適用されるため重要です。以前のフィルターは、後のフィルターで処理されないメッセージをドロップする可能性があります。
1.4.4.4. Filters
フィルターは spec.filters の下の配列で設定されます。構造化フィールドの値に基づいて受信ログメッセージを照合し、変更または削除できます。
管理者は次のタイプのフィルターを設定できます。
1.4.4.5. 複数行の例外検出の有効化
コンテナーログの複数行のエラー検出を有効にします。
この機能を有効にすると、パフォーマンスに影響が出る可能性があり、追加のコンピューティングリソースや代替のロギングソリューションが必要になる場合があります。
ログパーサーは頻繁に、同じ例外の個別の行を別々の例外として誤って識別します。その結果、余分なログエントリーが発生し、トレースされた情報が不完全または不正確な状態で表示されます。
Java 例外の例
java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
at testjava.Main.handle(Main.java:47)
at testjava.Main.printMe(Main.java:19)
at testjava.Main.main(Main.java:10)
java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
at testjava.Main.handle(Main.java:47)
at testjava.Main.printMe(Main.java:19)
at testjava.Main.main(Main.java:10)-
ロギングを有効にして複数行の例外を検出し、それらを 1 つのログエントリーに再アセンブルできるようにする場合は、
ClusterLogForwarderカスタムリソース (CR) に.spec.filtersの下のdetectMultilineErrorsフィールドが含まれていることを確認します。
ClusterLogForwarder CR の例
1.4.4.5.1. 詳細
ログメッセージが例外スタックトレースを形成する連続したシーケンスとして表示される場合、それらは単一の統合ログレコードに結合されます。最初のログメッセージの内容は、シーケンス内のすべてのメッセージフィールドの連結コンテンツに置き換えられます。
コレクターは次の言語をサポートしています。
- Java
- JS
- Ruby
- Python
- golang
- PHP
- Dart
1.4.4.6. 不要なログレコードを削除するコンテンツフィルターの設定
drop フィルターが設定されている場合、ログコレクターは転送する前にフィルターに従ってログストリームを評価します。コレクターは、指定された設定に一致する不要なログレコードを削除します。
手順
フィルターの設定を
ClusterLogForwarderCR のfilters仕様に追加します。以下の例は、正規表現に基づいてログレコードを削除するように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- フィルターのタイプを指定します。
dropフィルターは、フィルター設定に一致するログレコードをドロップします。 - 2
dropフィルターを適用するための設定オプションを指定します。- 3
- ログレコードが削除されるかどうかを評価するために使用されるテストの設定を指定します。
- テストに指定されたすべての条件が true の場合、テストは合格し、ログレコードは削除されます。
-
dropフィルター設定に複数のテストが指定されている場合、いずれかのテストに合格すると、レコードは削除されます。 - 条件の評価中にエラーが発生した場合 (たとえば、評価対象のログレコードにフィールドがない場合)、その条件は false と評価されます。
- 4
- ドットで区切られたフィールドパス (ログレコード内のフィールドへのパス) を指定します。パスには、英数字とアンダースコア (
a-zA-Z0-9_) を含めることができます (例:.kubernetes.namespace_name)。セグメントにこの範囲外の文字が含まれている場合、セグメントを引用符で囲む必要があります (例:.kubernetes.labels."foo.bar-bar/baz")。1 つのtest設定に複数のフィールドパスを含めることができますが、テストに合格してdropフィルターを適用するには、すべてのフィールドパスが true と評価される必要があります。 - 5
- 正規表現を指定します。ログレコードがこの正規表現と一致する場合は、破棄されます。単一の
fieldパスに対してmatchesまたはnotMatches条件のいずれかを設定できますが、両方を設定することはできません。 - 6
- 正規表現を指定します。ログレコードがこの正規表現に一致しない場合、破棄されます。単一の
fieldパスに対してmatchesまたはnotMatches条件のいずれかを設定できますが、両方を設定することはできません。 - 7
dropフィルターが適用されるパイプラインを指定します。
次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
追加例
次の例は、優先度の高いログレコードのみを保持するように drop フィルターを設定する方法を示しています。
単一の test 設定に複数のフィールドパスを追加する以外に、OR チェックとして扱われる追加のテストも追加できます。次の例では、いずれかの test 設定が true と評価されるとレコードが削除されます。ただし、2 番目の test 設定では、true と評価されるためには、両方のフィールド仕様が true である必要があります。
1.4.4.7. API 監査フィルターの概要
OpenShift API サーバーは、API 呼び出しごとに、リクエスト、レスポンス、リクエスターの ID の詳細を示す監査イベントを生成するため、大量のデータが生成されます。API 監査フィルターはルールを使用して、重要でないイベントを除外してイベントサイズを減少できるようにし、監査証跡をより管理しやすくします。ルールは順番にチェックされ、最初の一致でチェックが停止します。イベントに含まれるデータの量は、level フィールドの値によって決まります。
-
None: イベントはドロップされます。 -
Metadata: 監査メタデータが含まれ、リクエストおよびレスポンスの本文は削除されます。 -
Request: 監査メタデータとリクエスト本文が含まれ、レスポンス本文は削除されます。 -
RequestResponse: メタデータ、リクエスト本文、レスポンス本文のすべてのデータが含まれます。レスポンス本文が非常に大きくなる可能性があります。たとえば、oc get pods -Aはクラスター内のすべての Pod の YAML 記述を含むレスポンス本文を生成します。
ClusterLogForwarder カスタムリソース (CR) は、以下の追加機能を提供しますが、標準の Kubernetes 監査ポリシー と同じ形式を使用します。
- ワイルドカード
-
ユーザー、グループ、namespace、およびリソースの名前には、先頭または末尾に
*アスタリスク文字を付けることができます。たとえば、namespaceopenshift-\*はopenshift-apiserverまたはopenshift-authenticationに一致します。リソース\*/statusは、Pod/statusまたはDeployment/statusと一致します。 - デフォルトのルール
ポリシーのルールに一致しないイベントは、以下のようにフィルターされます。
-
get、list、watchなどの読み取り専用システムイベントは削除されます。 - サービスアカウントと同じ namespace 内で発生するサービスアカウント書き込みイベントはドロップされます。
- 他のすべてのイベントは、設定されたレート制限に従って転送されます。
-
これらのデフォルトを無効にするには、level フィールドのみが含まれるルールでルールリストを終了するか、空のルールを追加します。
- 応答コードが省略される
-
省略する整数ステータスコードのリスト。イベントが作成されない HTTP ステータスコードをリストする
OmitResponseCodesフィールドを使用して、応答で HTTP ステータスコードに基づいてイベントをドロップできます。デフォルト値は[404, 409, 422, 429]です。値が空のリスト[]の場合、ステータスコードは省略されません。
ClusterLogForwarder CR の監査ポリシーは、OpenShift Container Platform の監査ポリシーに加えて動作します。ClusterLogForwarder CR 監査フィルターは、ログコレクターが転送する内容を変更し、verb、user、group、namespace、または resource でフィルタリングする機能を提供します。複数のフィルターを作成して、同じ監査ストリームの異なるサマリーを異なる場所に送信できます。たとえば、詳細なストリームをローカルクラスターログストアに送信し、詳細度の低いストリームをリモートサイトに送信できます。
監査ログを収集するには、クラスターロール collect-audit-logs が必要です。提供されている例は、監査ポリシーで可能なルールの範囲を示すことを目的としており、推奨される設定ではありません。
監査ポリシーの例
1.4.4.8. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
input セレクターを使用して、ラベル式または照合するラベルキーとその値に基づいてアプリケーションログを含めることができます。
手順
ClusterLogForwarderCR のinput仕様にフィルターの設定を追加します。以下の例は、ラベル式または一致したラベルキー/値に基づいてログを組み込むように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.4.9. ログレコードを削除するコンテンツフィルターの設定
prune フィルターが設定されると、ログコレクターは転送前にフィルターをもとにログレベルを評価します。コレクターは、Pod アノテーションなどの値の低いフィールドを削除してログレコードを整理します。
手順
フィルターの設定を
ClusterLogForwarderCR のprune仕様に追加します。次の例は、フィールドパスに基づいてログレコードを削除するように
ClusterLogForwarderCR を設定する方法を示しています。重要両方が指定されている場合、最初に
notIn配列に基づいてレコードが整理され、in配列よりも優先されます。notIn配列を使用してレコードが整理された後、in配列を使用してレコードが整理されます。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- フィルターのタイプを指定します。
pruneフィルターでは、設定されたフィールドでログレコードをプルーニングします。 - 2
pruneフィルターを適用するための設定オプションを指定します。inフィールドとnotInフィールドは、ログレコード内のフィールドへのパスであるドット区切りのフィールドパスの配列として指定されます。これらのパスには、英数字とアンダースコア (a-zA-Z0-9_) を含めることができます (例:.kubernetes.namespace_name)。セグメントにこの範囲外の文字が含まれている場合、セグメントを引用符で囲む必要があります (例:.kubernetes.labels."foo.bar-bar/baz")。- 3
- オプション: この配列で指定されたフィールドはすべてログレコードから削除されます。
- 4
- オプション: この配列で指定されていないフィールドはログレコードから削除されます。
- 5
pruneフィルターを適用するパイプラインを指定します。
注記フィルターは、
log_type、.log_source、および.messageフィールドを除外します。次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.5. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
input セレクターを使用して、ログを収集する audit および infrastructure ソースのリストを定義できます。
手順
ClusterLogForwarderCR にauditおよびinfrastructureソースを定義する設定を追加します。次の例は、
ClusterLogForwarderCR を設定してauditおよびinfrastructureソースを定義する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.6. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
input セレクターを使用して、namespace とコンテナー名に基づいてアプリケーションログを含めたり除外したりできます。
手順
ClusterLogForwarderCR に namespace とコンテナー名を含めるか除外するかの設定を追加します。以下の例は、namespace およびコンテナー名を含めるか、除外するように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記excludesフィールドはincludesフィールドよりも優先されます。次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5. LokiStack でログを保存する
アプリケーション、監査、インフラストラクチャー関連のログを保存するように LokiStack CR を設定できます。
Loki は、OpenShift Observability UI で視覚化できる Red Hat OpenShift のログ記録用の GA ログストアとして提供される、水平方向にスケーラブルで可用性の高いマルチテナントログ集約システムです。OpenShift Logging が提供する Loki 設定は、収集されたログを使用してユーザーが迅速にトラブルシューティングを実行できるように設計された短期ログストアです。この目的のために、Loki の Red Hat OpenShift 設定のロギングには短期ストレージがあり、最新のクエリーに最適化されています。
長期間にわたる保存やクエリーの場合、ユーザーはクラスター外部のログストアを探す必要があります。Loki のサイズ設定は、最大 30 日間の短期ストレージに対してのみテストおよびサポートされます。
1.5.1. 前提条件
- CLI または Web コンソールを使用して Loki Operator をインストールしている。
-
ClusterLogForwarderを作成するのと同じ namespace にserviceAccountがある。 -
serviceAccountにcollect-audit-logs、collect-application-logs、collect-infrastructure-logsのクラスターロールが割り当てられている。
1.5.2. コアのセットアップと設定
ロールベースのアクセス制御、基本的なモニタリング、および Loki をデプロイするための Pod の配置。
1.5.3. LokiStack ルールの RBAC 権限の認可
管理者は、クラスターロールをユーザー名にバインドすることで、ユーザーが独自のアラートおよび記録ルールを作成および管理できるようにすることができます。クラスターロールは、ユーザーに必要なロールベースのアクセス制御 (RBAC) 権限を含む ClusterRole オブジェクトとして定義されます。
LokiStack では、アラートおよび記録ルール用の次のクラスターロールが利用できます。
| ルール名 | 説明 |
|---|---|
|
|
このロールを持つユーザーは、アラートルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、記録ルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
1.5.3.1. 例
ユーザーにクラスターロールを適用するには、既存のクラスターロールを特定のユーザー名にバインドする必要があります。
クラスターロールは、使用するロールバインディングの種類に応じて、クラスタースコープまたは namespace スコープにすることができます。RoleBinding オブジェクトを使用する場合は、oc adm policy add-role-to-user コマンドを使用する場合と同様に、クラスターロールが指定した namespace にのみ適用されます。ClusterRoleBinding オブジェクトを使用する場合は、oc adm policy add-cluster-role-to-user コマンドを使用する場合と同様に、クラスターロールがクラスター内のすべての namespace に適用されます。
次のコマンド例では、指定したユーザーに、クラスター内の特定の namespace のアラートルールに対する作成、読み取り、更新、および削除 (CRUD) 権限を付与します。
特定の namespace のアラートルールに対する CRUD 権限を付与するクラスターロールバインディングコマンドの例
oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>
$ oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>次のコマンドは、指定したユーザーに、すべての namespace のアラートルールに対する管理者権限を付与します。
管理者権限を付与するクラスターロールバインディングコマンドの例
oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>
$ oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>1.5.4. Loki を使用したログベースのアラートルールの作成
AlertingRule CR には、単一の LokiStack インスタンスのアラートルールグループを宣言するために使用する、仕様および Webhook 検証定義のセットが含まれます。Webhook 検証定義は、ルール検証条件もサポートします。
-
AlertingRuleCR に無効なinterval期間が含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に無効なfor期間が含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に無効な LogQLexprが含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に同じ名前のグループが 2 つ含まれる場合、無効なアラートルールです。 - 上記のいずれも該当しない場合、アラートルールは有効とみなされます。
| テナントタイプ | AlertingRule CR の有効な namespace |
|---|---|
| application |
|
| audit |
|
| infrastructure |
|
手順
AlertingRuleカスタムリソース (CR) を作成します。インフラストラクチャー
AlertingRuleCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- この
AlertingRuleCR が作成される namespace には、LokiStackspec.rules.namespaceSelector定義に一致するラベルが必要です。 - 2
labelsブロックは、LokiStack のspec.rules.selector定義と一致する必要があります。- 3
infrastructureテナントのAlertingRuleCR は、openshift-*、kube-\*、またはdefaultnamespaces でのみサポートされます。- 4
kubernetes_namespace_name:の値は、metadata.namespaceの値と一致する必要があります。- 5
- この必須フィールドの値は、
critical、warning、またはinfoである必要があります。 - 6
- このフィールドは必須です。
- 7
- このフィールドは必須です。
アプリケーション
AlertingRuleCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- この
AlertingRuleCR が作成される namespace には、LokiStackspec.rules.namespaceSelector定義に一致するラベルが必要です。 - 2
labelsブロックは、LokiStack のspec.rules.selector定義と一致する必要があります。- 3
kubernetes_namespace_name:の値は、metadata.namespaceの値と一致する必要があります。- 4
- この必須フィールドの値は、
critical、warning、またはinfoである必要があります。 - 5
- この必須フィールドの値は、ルールの概要です。
- 6
- この必須フィールドの値は、ルールの詳細な説明です。
AlertingRuleCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.5. メンバーリストの作成の失敗を許容する Loki の設定
OpenShift Container Platform クラスターでは、管理者は通常、非プライベート IP ネットワーク範囲を使用します。その結果、LokiStack メンバーリストはデフォルトでプライベート IP ネットワークのみを使用するため、LokiStack メンバーリストの設定は失敗します。
管理者は、メンバーリスト設定の Pod ネットワークを選択できます。LokiStack カスタムリソース (CR) を変更して、hashRing 仕様で podIP アドレスを使用できます。LokiStack CR を設定するには、以下のコマンドを使用します。
oc patch LokiStack logging-loki -n openshift-logging --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'
$ oc patch LokiStack logging-loki -n openshift-logging --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'podIPを含める LokiStack の例
1.5.6. Loki でストリームベースの保持の有効化
ログストリームに基づいて保持ポリシーを設定できます。これらのルールは、グローバル、テナントごと、またはその両方で設定できます。両方で設定すると、グローバルルールの前にテナントルールが適用されます。
s3 バケットまたは LokiStack カスタムリソース (CR) に保存期間が定義されていない場合、ログは削除されず、s3 バケットに永久に残り、s3 ストレージがいっぱいになる可能性があります。
スキーマ v13 が推奨されます。
手順
LokiStackCR を作成します。次の例に示すように、ストリームベースの保持をグローバルに有効にします。
AWS のグローバルストリームベースの保持の例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- すべてのログストリームの保持ポリシーを設定します。注記: このフィールドは、オブジェクトストレージに保存されたログの保持期間には影響しません。
- 2
- このブロックが CR に追加されると、クラスターで保持が有効になります。
- 3
- ログ stream.spec: 制限を定義するために使用される LogQL クエリー が含まれます。
次の例に示すように、テナントごとにストリームベースの保持を有効にします。
AWS のテナントごとのストリームベースの保持の例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- テナントごとの保持ポリシーを設定します。有効なテナントタイプは、
application、audit、およびinfrastructureです。 - 2
- ログストリームの定義に使用される LogQL クエリー が含まれています。
LokiStackCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.7. Loki Pod の配置
Pod の toleration またはノードセレクターを使用して、Loki Pod が実行するノードを制御し、他のワークロードがそれらのノードを使用しないようにできます。
LokiStack カスタムリソース (CR) を使用して toleration をログストア Pod に適用し、ノード仕様を使用して taint をノードに適用できます。ノードの taint は、taint を容認しないすべての Pod を拒否するようノードに指示する key:value ペアです。他の Pod にはない特定の key:value ペアを使用すると、ログストア Pod のみがそのノードで実行できるようになります。
ノードセレクターを使用する LokiStack の例
ノードセレクターと toleration を使用する LokiStack CR の例
LokiStack (CR) の nodeSelector フィールドと tolerations フィールドを設定するには、oc explain コマンドを使用して、特定のリソースの説明とフィールドを表示します。
oc explain lokistack.spec.template
$ oc explain lokistack.spec.template出力例
詳細情報用に、特定のフィールドを追加できます。
oc explain lokistack.spec.template.compactor
$ oc explain lokistack.spec.template.compactor出力例
1.5.7.1. 信頼性とパフォーマンスの向上
実稼働環境における Loki の信頼性と効率性を確保するための設定。
1.5.7.2. 有効期間の短いトークンを使用したクラウドベースのログストアへの認証の有効化
ワークロードアイデンティティーフェデレーションを使用すると、有効期間の短いトークンを使用してクラウドベースのログストアに対して認証できます。
手順
認証を有効にするには、次のいずれかのオプションを使用します。
-
OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールすると、有効期間が短いトークンを使用するクラスターが自動的に検出されます。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が
CredentialsRequestオブジェクトを作成するのに必要なデータを提供するように求められます。このオブジェクトにより、シークレットが設定されます。 OpenShift CLI (
oc) を使用して Loki Operator をインストールする場合は、次の例に示すように、ストレージプロバイダーに適したテンプレートを使用してSubscriptionオブジェクトを手動で作成する必要があります。この認証ストラテジーは、指定のストレージプロバイダーでのみサポートされます。Azure サンプルサブスクリプションの例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow AWS サンプルサブスクリプションの例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールすると、有効期間が短いトークンを使用するクラスターが自動的に検出されます。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が
1.5.7.3. ノードの障害を許容するための Loki の設定
Loki Operator は、同じコンポーネントの Pod がクラスター内の異なる使用可能なノードにスケジュールされるように要求する Pod アンチアフィニティールールの設定をサポートしています。
アフィニティーとは、スケジュールするノードを制御する Pod の特性です。非アフィニティーとは、Pod がスケジュールされることを拒否する Pod の特性です。
OpenShift Container Platform では、Pod のアフィニティー と Pod の非アフィニティー によって、他の Pod のキー/値ラベルに基づいて、Pod のスケジュールに適したノードを制限できます。
Operator は、すべての Loki コンポーネント (compactor、distributor、gateway、indexGateway、ingester、querier、queryFrontend、および ruler コンポーネントを含む) に対してデフォルトの優先 podAntiAffinity ルールを設定します。
requiredDuringSchedulingIgnoredDuringExecution フィールドに必要な設定を指定して、Loki コンポーネントの希望の podAntiAffinity 設定を上書きできます。
インジェスターコンポーネントのユーザー設定の例
1.5.7.4. クラスターの再起動中の LokiStack 動作
OpenShift Container Platform クラスターが再起動されると、LokiStack の取り込みとクエリーパスは、ノードで使用可能な CPU およびメモリーリソース内で引き続き動作します。つまり、OpenShift Container Platform クラスターの更新中に LokiStack でダウンタイムは発生しません。この動作は、PodDisruptionBudget リソースを使用して実現されます。Loki Operator は、Loki に PodDisruptionBudget リソースをプロビジョニングするため、特定の条件下で通常の動作を保証するためにコンポーネントごとに必要最小限、使用可能な Pod 数が決定されます。
1.5.7.5. 高度なデプロイメントとスケーラビリティー
高可用性、スケーラビリティー、エラー処理のための特殊な設定。
1.5.7.6. ゾーン対応のデータレプリケーション
Loki Operator は、Pod トポロジーの分散制約を通じて、ゾーン対応のデータレプリケーションのサポートを提供します。この機能を有効にすると、信頼性が向上し、1 つのゾーンで障害が発生した場合のログ損失に対する保護が強化されます。デプロイメントサイズを 1x.extra.small、1x.small、または 1x.medium に設定すると、replication.factor フィールドは自動的に 2 に設定されます。
適切なレプリケーションを実現するには、少なくともレプリケーション係数で指定されているのと同じ数のアベイラビリティーゾーンが必要です。レプリケーション係数より多くのアベイラビリティーゾーンを設定することは可能ですが、ゾーンが少ないと書き込みエラーが発生する可能性があります。最適な運用を実現するには、各ゾーンで同じ数のインスタンスをホストする必要があります。
ゾーンレプリケーションが有効になっている LokiStack CR の例
1.5.7.7. 障害が発生したゾーンからの Loki Pod の回復
OpenShift Container Platform では、特定のアベイラビリティーゾーンのリソースにアクセスできなくなると、ゾーン障害が発生します。アベイラビリティーゾーンは、冗長性とフォールトトレランスを強化することを目的とした、クラウドプロバイダーのデータセンター内の分離されたエリアです。OpenShift Container Platform クラスターがこの問題を処理するように設定されていない場合、ゾーン障害によりサービスまたはデータの損失が発生する可能性があります。
Loki Pod は StatefulSet の一部であり、StorageClass オブジェクトによってプロビジョニングされた永続ボリューム要求 (PVC) が付属しています。各 Loki Pod とその PVC は同じゾーンに存在します。クラスターでゾーン障害が発生すると、StatefulSet コントローラーが、障害が発生したゾーン内の影響を受けた Pod の回復を自動的に試みます。
次の手順では、障害が発生したゾーン内の PVC とそこに含まれるすべてのデータを削除します。完全なデータ損失を回避するには、LokiStack CR のレプリケーション係数フィールドを常に 1 より大きい値に設定して、Loki が確実にレプリケートされるようにする必要があります。
前提条件
-
LokiStackCR のレプリケーション係数が 1 より大きいことを確認している。 - コントロールプレーンによってゾーン障害が検出され、障害が発生したゾーン内のノードがクラウドプロバイダー統合によってマークされている。
StatefulSet コントローラーは、障害が発生したゾーン内の Pod を自動的に再スケジュールしようとします。関連する PVC も障害が発生したゾーンにあるため、別のゾーンへの自動再スケジュールは機能しません。新しいゾーンでステートフル Loki Pod とそのプロビジョニングされた PVC を正常に再作成できるようにするには、障害が発生したゾーンの PVC を手動で削除する必要があります。
手順
次のコマンドを実行して、
Pending中ステータスの Pod をリスト表示します。oc get pods --field-selector status.phase==Pending -n openshift-logging
$ oc get pods --field-selector status.phase==Pending -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get podsの出力例NAME READY STATUS RESTARTS AGE logging-loki-index-gateway-1 0/1 Pending 0 17m logging-loki-ingester-1 0/1 Pending 0 16m logging-loki-ruler-1 0/1 Pending 0 16m
NAME READY STATUS RESTARTS AGE1 logging-loki-index-gateway-1 0/1 Pending 0 17m logging-loki-ingester-1 0/1 Pending 0 16m logging-loki-ruler-1 0/1 Pending 0 16mCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- これらの Pod は、障害が発生したゾーンに対応する PVC があるため、
Pendingステータスになっています。
次のコマンドを実行して、
Pendingステータスの PVC をリストします。oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r
$ oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -rCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pvcの出力例storage-logging-loki-index-gateway-1 storage-logging-loki-ingester-1 wal-logging-loki-ingester-1 storage-logging-loki-ruler-1 wal-logging-loki-ruler-1
storage-logging-loki-index-gateway-1 storage-logging-loki-ingester-1 wal-logging-loki-ingester-1 storage-logging-loki-ruler-1 wal-logging-loki-ruler-1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して Pod の PVC を削除します。
oc delete pvc <pvc_name> -n openshift-logging
$ oc delete pvc <pvc_name> -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して Pod を削除します。
oc delete pod <pod_name> -n openshift-logging
$ oc delete pod <pod_name> -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow これらのオブジェクトが正常に削除されると、使用可能なゾーンでオブジェクトが自動的に再スケジュールされます。
1.5.7.7.1. terminating 状態の PVC のトラブルシューティング
PVC メタデータファイナライザーが kubernetes.io/pv-protection に設定されている場合、PVC が削除されずに terminating 状態でハングする可能性があります。ファイナライザーを削除すると、PVC が正常に削除されるようになります。
以下のコマンドを実行して各 PVC のファイナライザーを削除し、削除を再試行します。
oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging$ oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.7.8. Loki レート制限エラーのトラブルシューティング
Log Forwarder API がレート制限を超える大きなメッセージブロックを Loki に転送すると、Loki により、レート制限 (429) エラーが生成されます。
これらのエラーは、通常の動作中に発生する可能性があります。たとえば、すでにいくつかのログがあるクラスターにロギングを追加する場合、ロギングが既存のログエントリーをすべて取り込もうとするとレート制限エラーが発生する可能性があります。この場合、新しいログの追加速度が合計レート制限よりも低い場合、履歴データは最終的に取り込まれ、ユーザーの介入を必要とせずにレート制限エラーが解決されます。
レート制限エラーが引き続き発生する場合は、LokiStack カスタムリソース (CR) を変更することで問題を解決できます。
LokiStack CR は、Grafana がホストする Loki では利用できません。このトピックは、Grafana がホストする Loki サーバーには適用されません。
条件
- Log Forwarder API は、ログを Loki に転送するように設定されている。
システムは、次のような 2MB を超えるメッセージのブロックを Loki に送信する。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc logs -n openshift-logging -l component=collectorと入力すると、クラスター内のコレクターログに、次のいずれかのエラーメッセージを含む行が表示されます。429 Too Many Requests Ingestion rate limit exceeded
429 Too Many Requests Ingestion rate limit exceededCopy to Clipboard Copied! Toggle word wrap Toggle overflow Vector エラーメッセージの例
2023-08-25T16:08:49.301780Z WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true2023-08-25T16:08:49.301780Z WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow Fluentd エラーメッセージの例
2023-08-30 14:52:15 +0000 [warn]: [default_loki_infra] failed to flush the buffer. retry_times=2 next_retry_time=2023-08-30 14:52:19 +0000 chunk="604251225bf5378ed1567231a1c03b8b" error_class=Fluent::Plugin::LokiOutput::LogPostError error="429 Too Many Requests Ingestion rate limit exceeded for user infrastructure (limit: 4194304 bytes/sec) while attempting to ingest '4082' lines totaling '7820025' bytes, reduce log volume or contact your Loki administrator to see if the limit can be increased\n"
2023-08-30 14:52:15 +0000 [warn]: [default_loki_infra] failed to flush the buffer. retry_times=2 next_retry_time=2023-08-30 14:52:19 +0000 chunk="604251225bf5378ed1567231a1c03b8b" error_class=Fluent::Plugin::LokiOutput::LogPostError error="429 Too Many Requests Ingestion rate limit exceeded for user infrastructure (limit: 4194304 bytes/sec) while attempting to ingest '4082' lines totaling '7820025' bytes, reduce log volume or contact your Loki administrator to see if the limit can be increased\n"Copy to Clipboard Copied! Toggle word wrap Toggle overflow このエラーは受信側にも表示されます。たとえば、LokiStack 取り込み Pod で以下を行います。
Loki 取り込みエラーメッセージの例
level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream
level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for streamCopy to Clipboard Copied! Toggle word wrap Toggle overflow
手順
LokiStackCR のingestionBurstSizeおよびingestionRateフィールドを更新します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
ingestionBurstSizeフィールドは、ディストリビューターレプリカごとに最大ローカルレート制限サンプルサイズを MB 単位で定義します。この値はハードリミットです。この値を、少なくとも 1 つのプッシュリクエストで想定される最大ログサイズに設定します。ingestionBurstSize値より大きい単一リクエストは使用できません。- 2
ingestionRateフィールドは、1 秒あたりに取り込まれるサンプルの最大量 (MB 単位) に対するソフト制限です。ログのレートが制限を超えているにもかかわらず、コレクターがログの送信を再試行すると、レート制限エラーが発生します。合計平均が制限よりも少ない場合に限り、システムは回復し、ユーザーの介入なしでエラーが解決されます。
1.6. ロギングの可視化
ロギングの可視化は、Cluster Observability Operator の Logging UI プラグイン をデプロイすることで提供されます。そのためには Operator のインストールが必要です。
現在は テクノロジープレビュー (TP) 機能である Cluster Observability Operator (COO) の一般提供 (GA) リリースが近づくまで、Red Hat は、OpenShift Container Platform 4.14 以降の Logging UI プラグイン の COO で Logging 6.0 以降を使用しているお客様にサポートを提供します。COO にはいくつかの独立した機能が含まれており、その一部はまだテクノロジープレビュー機能であるため、このサポート例外は一時的なものです。ただし、Logging UI プラグインは GA の準備が完了しています。
第2章 Logging 6.1
2.1. Logging 6.1
2.1.1. Logging 6.1.0 リリースノート
このリリースには、Logging for Red Hat OpenShift バグ修正リリース 6.1.0 が含まれています。
2.1.1.1. 新機能および改良された機能
2.1.1.1.1. ログの収集
-
この機能拡張により、収集されたコンテナーログから送信される属性にソース
iostreamが追加されます。値は、コレクターがそれを受信した方法に基づき、stdoutまたはstderrのいずれかに設定されます。(LOG-5292) - この更新により、コレクターのデフォルトのメモリー制限が 1024 Mi から 2048 Mi に増加します。ユーザーは、クラスターの特定のニーズと仕様に基づきリソース制限を調整する必要があります。(LOG-6072)
-
この更新により、ユーザーは
ClusterLogForwarderCR の syslog 出力配信モードをAtLeastOnceまたはAtMostOnceのいずれかに設定できるようになります。(LOG-6355)
2.1.1.1.2. ログのストレージ
-
この更新により、新しい
1x.picoLokiStack サイズは、ワークロードとログボリュームが少ないクラスター (最大 50 GB/日) をサポーするようになります。(LOG-5939)
2.1.1.2. テクノロジープレビュー
OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
-
この更新により、
OTel(OpenTelemetry) データモデルを使用して OpenTelemetry ログを Red Hat Managed LokiStack インスタンスに転送できるようになります。この機能を有効にするには、ClusterLogForwarder設定にobservability.openshift.io/tech-preview-otlp-output: "enabled"アノテーションを追加します。追加の設定情報については、OTLP 転送 を参照してください。 -
この更新により、
lokiStack出力仕様にdataModelフィールドが追加されます。OpenTelemetry データ形式を使用するログ転送を設定するには、dataModelをOtelに設定します。デフォルトはViaqに設定されています。データマッピングの詳細は、OTLP 仕様 を参照してください。
2.1.1.3. バグ修正
なし。
2.1.1.4. CVE
2.2. Logging 6.1
コンテキスト:logging-6x-6.1
ClusterLogForwarder カスタムリソース (CR) は、ログの収集と転送の中心的な設定ポイントです。
2.2.1. 入力と出力
入力では、転送するログのソースを指定します。Logging には、クラスターのさまざまな部分からログを選択するための入力タイプ (application、receiver、infrastructure、audit) が組み込まれています。namespace または Pod ラベルに基づいてカスタム入力を定義し、ログの選択を微調整することもできます。
出力は、ログが送信される宛先を定義します。各出力タイプには独自の設定オプションセットがあり、動作と認証設定をカスタマイズできます。
2.2.2. レシーバー入力タイプ
レシーバー入力タイプにより、Logging システムは外部ソースからのログを受け入れることができます。ログを受信するための 2 つの形式 (http と syslog) がサポートされます。
ReceiverSpec は、レシーバー入力の設定を定義します。
2.2.3. パイプラインとフィルター
パイプラインは、入力から出力へのログのフローを決定します。パイプラインは、1 つ以上の入力参照、出力参照、およびオプションのフィルター参照で構成されます。フィルターを使用して、パイプライン内のログメッセージを変換または削除できます。フィルターは順番に適用されるため、フィルターの順序は重要であり、最初の方のフィルターを使用すると、ログメッセージが後のステージに到達するのを防ぐことができます。
2.2.4. Operator の動作
Cluster Logging Operator は、ClusterLogForwarder リソースの managementState フィールドに基づき、コレクターのデプロイメントと設定を管理します。
-
Managed(デフォルト) に設定すると、Operator は仕様で定義された設定に一致するように、ロギングリソースをアクティブに管理します。 -
Unmanagedに設定すると、Operator はアクションを実行せず、ロギングコンポーネントを手動で管理できます。
2.2.5. 検証
ロギングには、スムーズでエラーのない設定エクスペリエンスを確保するために、広範な検証ルールやデフォルト値が含まれます。ClusterLogForwarder リソースは、必須フィールド、フィールド間の依存関係、および入力値の形式の検証チェックを強制します。特定のフィールドにはデフォルト値が提供されるため、一般的なシナリオで明示的な設定を行う必要性が軽減されます。
2.2.6. クイックスタート
OpenShift Logging は 2 つのデータモデルをサポートしています。
- ViaQ (一般提供)
- OpenTelemetry (テクノロジープレビュー)
ClusterLogForwarder の lokiStack.dataModel フィールドを設定することにより、要件に基づきこれらのデータモデルのいずれかを選択できます。ViaQ は、ログを LokiStack に転送する際のデフォルトのデータモデルです。
OpenShift Logging の今後のリリースでは、デフォルトのデータモデルが ViaQ から OpenTelemetry に変更されます。
2.2.6.1. ViaQ のクイックスタート
デフォルトの ViaQ データモデルを使用するには、次の手順に従います。
前提条件
- クラスター管理者のパーミッション。
手順
- OperatorHub から、Red Hat OpenShift Logging Operator、Loki Operator、Cluster Observability Operator (COO) をインストールします。
openshift-loggingnamespace にLokiStackカスタムリソース (CR) を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記事前に
logging-loki-s3シークレットが事前に作成されていることを確認します。このシークレットの内容は、使用しているオブジェクトストレージにより異なります。詳細は、シークレットと TLS 設定を参照してください。コレクターのサービスアカウントを作成します。
oc create sa collector -n openshift-logging
$ oc create sa collector -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow コレクターのサービスアカウントによる
LokiStackCR へのデータ書き込みを許可します。oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collector
$ oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注記ClusterRoleリソースは、Cluster Logging Operato のインストール中に自動的に作成されるため、手動で作成する必要はありません。コレクターのサービスアカウントによるログ収集を許可します。
oc project openshift-logging
$ oc project openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-application-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-application-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-audit-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-audit-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注記この例では、コレクターを 3 つのロール (アプリケーション、インフラストラクチャー、監査) すべてにバインドしますが、デフォルトでは、アプリケーションログとインフラストラクチャーログのみが収集されます。監査ログを収集するには、
ClusterLogForwarder設定を更新して監査ログを含めます。環境に必要な特定のログタイプに基づきロールを割り当てます。Observe タブの Log セクションを有効にするには、
UIPluginCR を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ログ転送を設定するには、
ClusterLogForwarderCR を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記dataModelフィールドはオプションであり、デフォルトでは未設定 (dataModel: "") になっています。これにより、Cluster Logging Operator (CLO) はデータモデルを自動的に選択できるようになります。現在、このフィールドが設定されていない場合の CLO はデフォルトで ViaQ モデルになりますが、これは今後のリリースで変更される予定です。dataModel: ViaQを指定すると、デフォルトが変更されても設定の互換性が維持されます。
検証
- OpenShift Web コンソールの Observe タブの Log セクションにログが表示されていることを確認します。
2.2.6.2. OpenTelemetry のクイックスタート
OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
OTLP 取り込みを設定し、OpenTelemetry データモデルを有効にするには、次の手順を実行します。
前提条件
- クラスター管理者のパーミッション。
手順
- OperatorHub から、Red Hat OpenShift Logging Operator、Loki Operator、Cluster Observability Operator (COO) をインストールします。
openshift-loggingnamespace にLokiStackカスタムリソース (CR) を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記事前に
logging-loki-s3シークレットが事前に作成されていることを確認します。このシークレットの内容は、使用しているオブジェクトストレージにより異なります。詳細は、「シークレットと TLS 設定」を参照してください。コレクターのサービスアカウントを作成します。
oc create sa collector -n openshift-logging
$ oc create sa collector -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow コレクターのサービスアカウントによる
LokiStackCR へのデータ書き込みを許可します。oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collector
$ oc adm policy add-cluster-role-to-user logging-collector-logs-writer -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注記ClusterRoleリソースは、Cluster Logging Operato のインストール中に自動的に作成されるため、手動で作成する必要はありません。コレクターのサービスアカウントによるログ収集を許可します。
oc project openshift-logging
$ oc project openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-application-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-application-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-audit-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-audit-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collector
$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs -z collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注記この例では、コレクターを 3 つのロール (アプリケーション、インフラストラクチャー、監査) すべてにバインドします。デフォルトでは、アプリケーションログとインフラストラクチャーログのみが収集されます。監査ログを収集するには、
ClusterLogForwarder設定を更新して監査ログを含めます。環境に必要な特定のログタイプに基づきロールを割り当てます。Observe タブの Log セクションを有効にするには、
UIPluginCR を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ログ転送を設定するには、
ClusterLogForwarderCR を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記dataModelがOtelの場合、lokiStack.labelKeysは使用できません。dataModelがOtelの場合に同様の機能を得るには、「OTLP データ取り込み用の LokiStack 設定」を参照してください。
検証
- OpenShift Web コンソールで Observe → OpenShift Logging → LokiStack → Writes に移動し、Distributor - Structured Metadata を確認して、OTLP が正常に機能していることを確認します。
2.3. ログ転送の設定
ClusterLogForwarder (CLF) を使用すると、ユーザーはさまざまな宛先へのログの転送を設定できます。さまざまなソースからログメッセージを選択し、それらを変換またはフィルタリングできるパイプラインを介して送信して、1 つ以上の出力に転送する柔軟な方法を提供します。
ClusterLogForwarder の主な機能
- 入力を使用してログメッセージを選択する
- 出力を使用してログを外部の宛先に転送する
- フィルターを使用してログメッセージをフィルタリング、変換、およびドロップする
- 入力、フィルター、出力を接続するログ転送パイプラインを定義する
2.3.1. ログ収集のセットアップ
このリリースの Cluster Logging では、管理者が ClusterLogForwarder に関連付けられたサービスアカウントにログ収集権限を明示的に付与する必要があります。これは、ClusterLogging およびオプションで ClusterLogForwarder.logging.openshift.io リソースで構成されるレガシーロギングシナリオでは、以前のリリースでは必要ありませんでした。
Red Hat OpenShift Logging Operator は、collect-audit-logs、collect-application-logs、collect-infrastructure-logs クラスターロールを提供します。これにより、コレクターは監査ログ、アプリケーションログ、およびインフラストラクチャーログをそれぞれ収集できます。
必要なクラスターロールをサービスアカウントにバインドして、ログ収集をセットアップします。
2.3.1.1. レガシーサービスアカウント
既存のレガシーサービスアカウント logcollector を使用するには、次の ClusterRoleBinding を作成します。
oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollectorさらに、監査ログを収集する場合は、次の ClusterRoleBinding を作成します。
oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector
$ oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector2.3.1.2. サービスアカウントの作成
前提条件
-
Red Hat OpenShift Logging Operator が
openshift-loggingnamespace にインストールされている。 - 管理者権限がある。
手順
- コレクターのサービスアカウントを作成します。認証にトークンを必要とするストレージにログを書き込む場合は、サービスアカウントにトークンを含める必要があります。
適切なクラスターロールをサービスアカウントにバインドします。
バインドコマンドの例
oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>
$ oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3.1.2.1. サービスアカウントのクラスターロールバインディング
role_binding.yaml ファイルは、ClusterLogging Operator の ClusterRole を特定の ServiceAccount にバインドし、クラスター全体で Kubernetes リソースを管理できるようにします。
- 1
- roleRef: バインディングが適用される ClusterRole を参照します。
- 2
- apiGroup: RBAC API グループを示し、ClusterRole が Kubernetes の RBAC システムの一部であることを指定します。
- 3
- kind: 参照されるロールがクラスター全体に適用される ClusterRole であることを指定します。
- 4
- name: ServiceAccount にバインドされる ClusterRole の名前 (ここでは cluster-logging-operator)。
- 5
- subjects: ClusterRole から権限が付与されるエンティティー (ユーザーまたはサービスアカウント) を定義します。
- 6
- kind: サブジェクトが ServiceAccount であることを指定します。
- 7
- Name: 権限が付与される ServiceAccount の名前。
- 8
- namespace: ServiceAccount が配置されている namespace を示します。
2.3.1.2.2. アプリケーションログの書き込み
write-application-logs-clusterrole.yaml ファイルは、Loki ロギングアプリケーションにアプリケーションログを書き込む権限を付与する ClusterRole を定義します。
2.3.1.2.3. 監査ログの書き込み
write-audit-logs-clusterrole.yaml ファイルは、Loki ロギングシステムに監査ログを作成する権限を付与する ClusterRole を定義します。
- 1 1
- rules: この ClusterRole によって付与される権限を定義します。
- 2 2
- apiGroups: API グループ loki.grafana.com を指定します。
- 3 3
- loki.grafana.com: Loki ロギングリソースを管理する API グループ。
- 4 4
- resources: このロールが管理するリソースタイプ (この場合は audit) を指します。
- 5 5
- audit: ロールが Loki 内の監査ログを管理することを指定します。
- 6 6
- resourceNames: ロールがアクセスできる特定のリソースを定義します。
- 7 7
- logs: このロールで管理できるログを指します。
- 8 8
- verbs: リソースで許可されるアクション。
- 9 9
- create: 新しい監査ログを作成する権限を付与します。
2.3.1.2.4. インフラストラクチャーログの書き込み
write-infrastructure-logs-clusterrole.yaml ファイルは、Loki ロギングシステムにインフラストラクチャーログを作成する権限を付与する ClusterRole を定義します。
YAML 例
- 1
- ルール: この ClusterRole が付与する権限を指定します。
- 2
- apiGroups: Loki 関連リソースの API グループを指定します。
- 3
- loki.grafana.com: Loki ロギングシステムを管理する API グループ。
- 4
- resources: このロールが対話できるリソースタイプを定義します。
- 5
- infrastructure: このロールが管理するインフラストラクチャー関連のリソースを指します。
- 6
- resourceNames: このロールが管理できるリソースの名前を指定します。
- 7
- logs: インフラストラクチャーに関連するログリソースを指します。
- 8
- verbs: このロールによって許可されるアクションです。
- 9
- create: Loki システムにインフラストラクチャーログを作成する権限を付与します。
2.3.1.2.5. ClusterLogForwarder 編集者ロール
clusterlogforwarder-editor-role.yaml ファイルは、ユーザーが OpenShift で ClusterLogForwarders を管理できるようにする ClusterRole を定義します。
- 1
- ルール: この ClusterRole が付与する権限を指定します。
- 2
- apiGroups: OpenShift 固有の API グループを指します。
- 3
- obervability.openshift.io: ロギングなどの可観測性リソースを管理するための API グループ。
- 4
- resources: このロールが管理できるリソースを指定します。
- 5
- clusterlogforwarders: OpenShift のログ転送リソースを指します。
- 6
- verbs: ClusterLogForwarders で許可されるアクションを指定します。
- 7
- create: 新しい ClusterLogForwarders を作成する権限を付与します。
- 8
- delete: 既存の ClusterLogForwarders を削除する権限を付与します。
- 9
- get: 特定の ClusterLogForwarders に関する情報を取得する権限を付与します。
- 10
- list: すべての ClusterLogForwarders のリスト表示を許可します。
- 11
- patch: ClusterLogForwarders を部分的に変更する権限を付与します。
- 12
- update: 既存の ClusterLogForwarders を更新する権限を付与します。
- 13
- watch: ClusterLogForwarders への変更を監視する権限を付与します。
2.3.2. コレクターのログレベルの変更
コレクターでログレベルを変更するには、observability.openshift.io/log-level アノテーションを trace、debug、info、warn、error、および off に設定します。
ログレベルアノテーションの例
2.3.3. Operator の管理
ClusterLogForwarder リソースには、Operator がリソースをアクティブに管理するか、管理対象外のままにするかを制御する managementState フィールドがあります。
- Managed
- (デフォルト) Operator は、CLF 仕様の目的の状態に一致するようにロギングリソースを駆動します。
- 管理対象外
- Operator は、ロギングコンポーネントに関連するアクションを一切実行しません。
これにより、管理者は managementState を Unmanaged に設定して、ログ転送を一時的に停止できます。
2.3.4. ClusterLogForwarder の構造
CLF には、次の主要コンポーネントを含む spec セクションがあります。
- Inputs
-
転送するログメッセージを選択します。組み込みの入力タイプである
application、infrastructure、およびauditは、クラスターのさまざまな部分からログを転送します。カスタム入力を定義することもできます。 - 出力
- ログを転送する宛先を定義します。各出力には、一意の名前とタイプ固有の設定があります。
- Pipelines
- ログが入力からフィルターを経由して出力されるまでのパスを定義します。パイプラインには一意の名前があり、入力名、出力名、フィルター名のリストで構成されます。
- Filters
- パイプライン内のログメッセージを変換またはドロップします。ユーザーは、特定のログフィールドに一致するフィルターを定義し、メッセージをドロップまたは変更できます。フィルターはパイプラインで指定された順序で適用されます。
2.3.4.1. Inputs
入力は spec.inputs の下の配列で設定されます。組み込みの入力タイプは 3 つあります。
- application
-
default、openshiftなどのインフラストラクチャー namespace や、kube-またはopenshift-の接頭辞を持つ namespace 内のログを除いた、すべてのアプリケーションコンテナーからログを選択します。 - infrastructure
-
defaultおよびopenshiftnamespace とノードログで実行されているインフラストラクチャーコンポーネントからログを選択します。 - audit
- OpenShift API サーバー監査ログ、Kubernetes API サーバー監査ログ、ovn 監査ログ、および auditd からのノード監査ログからログを選択します。
ユーザーは、特定の namespace からログを選択するか、または Pod ラベルを使用してログを選択する application のカスタム入力を定義できます。
2.3.4.2. 出力
出力は spec.outputs の下の配列で構成されます。各出力には一意の名前とタイプが必要です。サポートされているタイプは次のとおりです。
- azureMonitor
- ログを Azure Monitor に転送します。
- cloudwatch
- ログを AWS CloudWatch に転送します。
- elasticsearch
- ログを外部の Elasticsearch インスタンスに転送します。
- googleCloudLogging
- ログを Google Cloud Logging に転送します。
- http
- ログを汎用 HTTP エンドポイントに転送します。
- kafka
- ログを Kafka ブローカーに転送します。
- loki
- ログを Loki ロギングバックエンドに転送します。
- lokistack
- ログを、OpenShift Container Platform 認証インテグレーションによる Loki と Web プロキシーのロギングがサポートされている組み合わせに転送します。LokiStack のプロキシーは、OpenShift Container Platform 認証を使用してマルチテナンシーを適用します。
- otlp
- OpenTelemetry プロトコルを使用してログを転送します。
- splunk
- ログを Splunk に転送します。
- syslog
- ログを外部の syslog サーバーに転送します。
各出力タイプには独自の設定フィールドがあります。
2.3.5. OTLP 出力の設定
クラスター管理者は、OpenTelemetry Protocol (OTLP) 出力を使用してログを収集し、OTLP レシーバーに転送できます。OTLP 出力は、OpenTelemetry Observability フレームワーク で定義された仕様を使用して、HTTP を介して JSON エンコーディングでデータを送信します。
OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
手順
OTLP を使用した転送を有効にするには、次のアノテーションを追加して
ClusterLogForwarderカスタムリソース (CR) を作成または編集します。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow
OTLP 出力では OpenTelemetry データモデルが使用されますが、これは他の出力タイプで使用される ViaQ データモデルとは異なります。これは、OpenTelemetry Observability フレームワークで定義された OpenTelemetry Semantic Conventions を使用することで OTLP に準拠しています。
2.3.5.1. Pipelines
パイプラインは spec.pipelines の下の配列で設定されます。各パイプラインには一意の名前があり、次の要素で構成される必要があります。
- inputRefs
- このパイプラインにログを転送する入力の名前。
- outputRefs
- ログを送信する出力の名前。
- filterRefs
- (オプション) 適用するフィルターの名前。
filterRef の順序は、順次適用されるため重要です。以前のフィルターは、後のフィルターで処理されないメッセージをドロップする可能性があります。
2.3.5.2. Filters
フィルターは spec.filters の下の配列で設定されます。構造化フィールドの値に基づいて受信ログメッセージを照合し、変更または削除できます。
管理者は次のタイプのフィルターを設定できます。
2.3.5.3. 複数行の例外検出の有効化
コンテナーログの複数行のエラー検出を有効にします。
この機能を有効にすると、パフォーマンスに影響が出る可能性があり、追加のコンピューティングリソースや代替のロギングソリューションが必要になる場合があります。
ログパーサーは頻繁に、同じ例外の個別の行を別々の例外として誤って識別します。その結果、余分なログエントリーが発生し、トレースされた情報が不完全または不正確な状態で表示されます。
Java 例外の例
java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
at testjava.Main.handle(Main.java:47)
at testjava.Main.printMe(Main.java:19)
at testjava.Main.main(Main.java:10)
java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
at testjava.Main.handle(Main.java:47)
at testjava.Main.printMe(Main.java:19)
at testjava.Main.main(Main.java:10)-
ロギングを有効にして複数行の例外を検出し、それらを 1 つのログエントリーに再アセンブルできるようにする場合は、
ClusterLogForwarderカスタムリソース (CR) に.spec.filtersの下のdetectMultilineErrorsフィールドが含まれていることを確認します。
ClusterLogForwarder CR の例
2.3.5.3.1. 詳細
ログメッセージが例外スタックトレースを形成する連続したシーケンスとして表示される場合、それらは単一の統合ログレコードに結合されます。最初のログメッセージの内容は、シーケンス内のすべてのメッセージフィールドの連結コンテンツに置き換えられます。
コレクターは次の言語をサポートしています。
- Java
- JS
- Ruby
- Python
- golang
- PHP
- Dart
2.3.5.4. 不要なログレコードを削除するコンテンツフィルターの設定
drop フィルターが設定されている場合、ログコレクターは転送する前にフィルターに従ってログストリームを評価します。コレクターは、指定された設定に一致する不要なログレコードを削除します。
手順
フィルターの設定を
ClusterLogForwarderCR のfilters仕様に追加します。以下の例は、正規表現に基づいてログレコードを削除するように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- フィルターのタイプを指定します。
dropフィルターは、フィルター設定に一致するログレコードをドロップします。 - 2
dropフィルターを適用するための設定オプションを指定します。- 3
- ログレコードが削除されるかどうかを評価するために使用されるテストの設定を指定します。
- テストに指定されたすべての条件が true の場合、テストは合格し、ログレコードは削除されます。
-
dropフィルター設定に複数のテストが指定されている場合、いずれかのテストに合格すると、レコードは削除されます。 - 条件の評価中にエラーが発生した場合 (たとえば、評価対象のログレコードにフィールドがない場合)、その条件は false と評価されます。
- 4
- ドットで区切られたフィールドパス (ログレコード内のフィールドへのパス) を指定します。パスには、英数字とアンダースコア (
a-zA-Z0-9_) を含めることができます (例:.kubernetes.namespace_name)。セグメントにこの範囲外の文字が含まれている場合、セグメントを引用符で囲む必要があります (例:.kubernetes.labels."foo.bar-bar/baz")。1 つのtest設定に複数のフィールドパスを含めることができますが、テストに合格してdropフィルターを適用するには、すべてのフィールドパスが true と評価される必要があります。 - 5
- 正規表現を指定します。ログレコードがこの正規表現と一致する場合は、破棄されます。単一の
fieldパスに対してmatchesまたはnotMatches条件のいずれかを設定できますが、両方を設定することはできません。 - 6
- 正規表現を指定します。ログレコードがこの正規表現に一致しない場合、破棄されます。単一の
fieldパスに対してmatchesまたはnotMatches条件のいずれかを設定できますが、両方を設定することはできません。 - 7
dropフィルターが適用されるパイプラインを指定します。
次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
追加例
次の例は、優先度の高いログレコードのみを保持するように drop フィルターを設定する方法を示しています。
単一の test 設定に複数のフィールドパスを追加する以外に、OR チェックとして扱われる追加のテストも追加できます。次の例では、いずれかの test 設定が true と評価されるとレコードが削除されます。ただし、2 番目の test 設定では、true と評価されるためには、両方のフィールド仕様が true である必要があります。
2.3.5.5. API 監査フィルターの概要
OpenShift API サーバーは、API 呼び出しごとに、リクエスト、レスポンス、リクエスターの ID の詳細を示す監査イベントを生成するため、大量のデータが生成されます。API 監査フィルターはルールを使用して、重要でないイベントを除外してイベントサイズを減少できるようにし、監査証跡をより管理しやすくします。ルールは順番にチェックされ、最初の一致でチェックが停止します。イベントに含まれるデータの量は、level フィールドの値によって決まります。
-
None: イベントはドロップされます。 -
Metadata: 監査メタデータが含まれ、リクエストおよびレスポンスの本文は削除されます。 -
Request: 監査メタデータとリクエスト本文が含まれ、レスポンス本文は削除されます。 -
RequestResponse: メタデータ、リクエスト本文、レスポンス本文のすべてのデータが含まれます。レスポンス本文が非常に大きくなる可能性があります。たとえば、oc get pods -Aはクラスター内のすべての Pod の YAML 記述を含むレスポンス本文を生成します。
ClusterLogForwarder カスタムリソース (CR) は、以下の追加機能を提供しますが、標準の Kubernetes 監査ポリシー と同じ形式を使用します。
- ワイルドカード
-
ユーザー、グループ、namespace、およびリソースの名前には、先頭または末尾に
*アスタリスク文字を付けることができます。たとえば、namespaceopenshift-\*はopenshift-apiserverまたはopenshift-authenticationに一致します。リソース\*/statusは、Pod/statusまたはDeployment/statusと一致します。 - デフォルトのルール
ポリシーのルールに一致しないイベントは、以下のようにフィルターされます。
-
get、list、watchなどの読み取り専用システムイベントは削除されます。 - サービスアカウントと同じ namespace 内で発生するサービスアカウント書き込みイベントはドロップされます。
- 他のすべてのイベントは、設定されたレート制限に従って転送されます。
-
これらのデフォルトを無効にするには、level フィールドのみが含まれるルールでルールリストを終了するか、空のルールを追加します。
- 応答コードが省略される
-
省略する整数ステータスコードのリスト。イベントが作成されない HTTP ステータスコードをリストする
OmitResponseCodesフィールドを使用して、応答で HTTP ステータスコードに基づいてイベントをドロップできます。デフォルト値は[404, 409, 422, 429]です。値が空のリスト[]の場合、ステータスコードは省略されません。
ClusterLogForwarder CR の監査ポリシーは、OpenShift Container Platform の監査ポリシーに加えて動作します。ClusterLogForwarder CR 監査フィルターは、ログコレクターが転送する内容を変更し、verb、user、group、namespace、または resource でフィルタリングする機能を提供します。複数のフィルターを作成して、同じ監査ストリームの異なるサマリーを異なる場所に送信できます。たとえば、詳細なストリームをローカルクラスターログストアに送信し、詳細度の低いストリームをリモートサイトに送信できます。
監査ログを収集するには、クラスターロール collect-audit-logs が必要です。提供されている例は、監査ポリシーで可能なルールの範囲を示すことを目的としており、推奨される設定ではありません。
監査ポリシーの例
2.3.5.6. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
input セレクターを使用して、ラベル式または照合するラベルキーとその値に基づいてアプリケーションログを含めることができます。
手順
ClusterLogForwarderCR のinput仕様にフィルターの設定を追加します。以下の例は、ラベル式または一致したラベルキー/値に基づいてログを組み込むように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3.5.7. ログレコードを削除するコンテンツフィルターの設定
prune フィルターが設定されると、ログコレクターは転送前にフィルターをもとにログレベルを評価します。コレクターは、Pod アノテーションなどの値の低いフィールドを削除してログレコードを整理します。
手順
フィルターの設定を
ClusterLogForwarderCR のprune仕様に追加します。次の例は、フィールドパスに基づいてログレコードを削除するように
ClusterLogForwarderCR を設定する方法を示しています。重要両方が指定されている場合、最初に
notIn配列に基づいてレコードが整理され、in配列よりも優先されます。notIn配列を使用してレコードが整理された後、in配列を使用してレコードが整理されます。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- フィルターのタイプを指定します。
pruneフィルターでは、設定されたフィールドでログレコードをプルーニングします。 - 2
pruneフィルターを適用するための設定オプションを指定します。inフィールドとnotInフィールドは、ログレコード内のフィールドへのパスであるドット区切りのフィールドパスの配列として指定されます。これらのパスには、英数字とアンダースコア (a-zA-Z0-9_) を含めることができます (例:.kubernetes.namespace_name)。セグメントにこの範囲外の文字が含まれている場合、セグメントを引用符で囲む必要があります (例:.kubernetes.labels."foo.bar-bar/baz")。- 3
- オプション: この配列で指定されたフィールドはすべてログレコードから削除されます。
- 4
- オプション: この配列で指定されていないフィールドはログレコードから削除されます。
- 5
pruneフィルターを適用するパイプラインを指定します。
注記フィルターは、
log_type、.log_source、および.messageフィールドを除外します。次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3.6. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
input セレクターを使用して、ログを収集する audit および infrastructure ソースのリストを定義できます。
手順
ClusterLogForwarderCR にauditおよびinfrastructureソースを定義する設定を追加します。次の例は、
ClusterLogForwarderCR を設定してauditおよびinfrastructureソースを定義する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3.7. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
input セレクターを使用して、namespace とコンテナー名に基づいてアプリケーションログを含めたり除外したりできます。
手順
ClusterLogForwarderCR に namespace とコンテナー名を含めるか除外するかの設定を追加します。以下の例は、namespace およびコンテナー名を含めるか、除外するように
ClusterLogForwarderCR を設定する方法を示しています。ClusterLogForwarderCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記excludesフィールドはincludesフィールドよりも優先されます。次のコマンドを実行して、
ClusterLogForwarderCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4. LokiStack でログを保存する
アプリケーション、監査、インフラストラクチャー関連のログを保存するように LokiStack CR を設定できます。
Loki は、OpenShift Observability UI で視覚化できる Red Hat OpenShift のログ記録用の GA ログストアとして提供される、水平方向にスケーラブルで可用性の高いマルチテナントログ集約システムです。OpenShift Logging が提供する Loki 設定は、収集されたログを使用してユーザーが迅速にトラブルシューティングを実行できるように設計された短期ログストアです。この目的のために、Loki の Red Hat OpenShift 設定のロギングには短期ストレージがあり、最新のクエリーに最適化されています。
長期間にわたる保存やクエリーの場合、ユーザーはクラスター外部のログストアを探す必要があります。Loki のサイズ設定は、最大 30 日間の短期ストレージに対してのみテストおよびサポートされます。
2.4.1. Loki デプロイメントのサイズ
Loki のサイズは 1x.<size> の形式に従います。この場合の 1x はインスタンスの数を、<size> は性能を指定します。
1x.pico 設定は、最小限のリソースと制限要件を持つ単一の Loki デプロイメントを定義し、すべての Loki コンポーネントに高可用性 (HA) サポートを提供します。この設定は、単一のレプリケーションファクターまたは自動圧縮を必要としないデプロイメントに適しています。
ディスク要求はサイズ設定にかかわらず類似しているため、お客様はさまざまなサイズをテストして、それぞれのデプロイメントニーズに最適なサイズを決定できます。
デプロイメントサイズの 1x の数は変更できません。
| 1x.demo | 1x.pico [6.1+ のみ] | 1x.extra-small | 1x.small | 1x.medium | |
|---|---|---|---|---|---|
| Data transfer | デモ使用のみ | 50 GB/日 | 100 GB/日 | 500 GB/日 | 2 TB/日 |
| 1 秒あたりのクエリー数 (QPS) | デモ使用のみ | 200 ミリ秒で 1 - 25 QPS | 200 ミリ秒で 1 - 25 QPS | 200 ミリ秒で 25 - 50 QPS | 200 ミリ秒で 25 - 75 QPS |
| レプリケーション係数 | なし | 2 | 2 | 2 | 2 |
| 合計 CPU 要求 | なし | 仮想 CPU 7 個 | 仮想 CPU 14 個 | 仮想 CPU 34 個 | 仮想 CPU 54 個 |
| ルーラーを使用する場合の合計 CPU リクエスト | なし | 仮想 CPU 8 個 | 仮想 CPU 16 個 | 仮想 CPU 42 個 | 仮想 CPU 70 個 |
| 合計メモリー要求 | なし | 17 Gi | 31 Gi | 67 Gi | 139 Gi |
| ルーラーを使用する場合の合計メモリーリクエスト | なし | 18 Gi | 35 Gi | 83 Gi | 171 Gi |
| 合計ディスク要求 | 40 Gi | 590 Gi | 430 Gi | 430 Gi | 590 Gi |
| ルーラーを使用する場合の合計ディスクリクエスト | 80 Gi | 910 Gi | 750 Gi | 750 Gi | 910 Gi |
2.4.2. 前提条件
- CLI または Web コンソールを使用して Loki Operator をインストールしている。
-
ClusterLogForwarderを作成するのと同じ namespace にserviceAccountがある。 -
serviceAccountにcollect-audit-logs、collect-application-logs、collect-infrastructure-logsのクラスターロールが割り当てられている。
2.4.3. コアのセットアップと設定
ロールベースのアクセス制御、基本的なモニタリング、および Loki をデプロイするための Pod の配置。
2.4.4. LokiStack ルールの RBAC 権限の認可
管理者は、クラスターロールをユーザー名にバインドすることで、ユーザーが独自のアラートおよび記録ルールを作成および管理できるようにすることができます。クラスターロールは、ユーザーに必要なロールベースのアクセス制御 (RBAC) 権限を含む ClusterRole オブジェクトとして定義されます。
LokiStack では、アラートおよび記録ルール用の次のクラスターロールが利用できます。
| ルール名 | 説明 |
|---|---|
|
|
このロールを持つユーザーは、アラートルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、記録ルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
|
|
このロールを持つユーザーは、 |
2.4.4.1. 例
ユーザーにクラスターロールを適用するには、既存のクラスターロールを特定のユーザー名にバインドする必要があります。
クラスターロールは、使用するロールバインディングの種類に応じて、クラスタースコープまたは namespace スコープにすることができます。RoleBinding オブジェクトを使用する場合は、oc adm policy add-role-to-user コマンドを使用する場合と同様に、クラスターロールが指定した namespace にのみ適用されます。ClusterRoleBinding オブジェクトを使用する場合は、oc adm policy add-cluster-role-to-user コマンドを使用する場合と同様に、クラスターロールがクラスター内のすべての namespace に適用されます。
次のコマンド例では、指定したユーザーに、クラスター内の特定の namespace のアラートルールに対する作成、読み取り、更新、および削除 (CRUD) 権限を付与します。
特定の namespace のアラートルールに対する CRUD 権限を付与するクラスターロールバインディングコマンドの例
oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>
$ oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>次のコマンドは、指定したユーザーに、すべての namespace のアラートルールに対する管理者権限を付与します。
管理者権限を付与するクラスターロールバインディングコマンドの例
oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>
$ oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>2.4.5. Loki を使用したログベースのアラートルールの作成
AlertingRule CR には、単一の LokiStack インスタンスのアラートルールグループを宣言するために使用する、仕様および Webhook 検証定義のセットが含まれます。Webhook 検証定義は、ルール検証条件もサポートします。
-
AlertingRuleCR に無効なinterval期間が含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に無効なfor期間が含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に無効な LogQLexprが含まれる場合、無効なアラートルールです。 -
AlertingRuleCR に同じ名前のグループが 2 つ含まれる場合、無効なアラートルールです。 - 上記のいずれも該当しない場合、アラートルールは有効とみなされます。
| テナントタイプ | AlertingRule CR の有効な namespace |
|---|---|
| application |
|
| audit |
|
| infrastructure |
|
手順
AlertingRuleカスタムリソース (CR) を作成します。インフラストラクチャー
AlertingRuleCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- この
AlertingRuleCR が作成される namespace には、LokiStackspec.rules.namespaceSelector定義に一致するラベルが必要です。 - 2
labelsブロックは、LokiStack のspec.rules.selector定義と一致する必要があります。- 3
infrastructureテナントのAlertingRuleCR は、openshift-*、kube-\*、またはdefaultnamespaces でのみサポートされます。- 4
kubernetes_namespace_name:の値は、metadata.namespaceの値と一致する必要があります。- 5
- この必須フィールドの値は、
critical、warning、またはinfoである必要があります。 - 6
- このフィールドは必須です。
- 7
- このフィールドは必須です。
アプリケーション
AlertingRuleCR の例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- この
AlertingRuleCR が作成される namespace には、LokiStackspec.rules.namespaceSelector定義に一致するラベルが必要です。 - 2
labelsブロックは、LokiStack のspec.rules.selector定義と一致する必要があります。- 3
kubernetes_namespace_name:の値は、metadata.namespaceの値と一致する必要があります。- 4
- この必須フィールドの値は、
critical、warning、またはinfoである必要があります。 - 5
- この必須フィールドの値は、ルールの概要です。
- 6
- この必須フィールドの値は、ルールの詳細な説明です。
AlertingRuleCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4.6. メンバーリストの作成の失敗を許容する Loki の設定
OpenShift Container Platform クラスターでは、管理者は通常、非プライベート IP ネットワーク範囲を使用します。その結果、LokiStack メンバーリストはデフォルトでプライベート IP ネットワークのみを使用するため、LokiStack メンバーリストの設定は失敗します。
管理者は、メンバーリスト設定の Pod ネットワークを選択できます。LokiStack カスタムリソース (CR) を変更して、hashRing 仕様で podIP アドレスを使用できます。LokiStack CR を設定するには、以下のコマンドを使用します。
oc patch LokiStack logging-loki -n openshift-logging --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'
$ oc patch LokiStack logging-loki -n openshift-logging --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'podIPを含める LokiStack の例
2.4.7. Loki でストリームベースの保持の有効化
ログストリームに基づいて保持ポリシーを設定できます。これらのルールは、グローバル、テナントごと、またはその両方で設定できます。両方で設定すると、グローバルルールの前にテナントルールが適用されます。
s3 バケットまたは LokiStack カスタムリソース (CR) に保存期間が定義されていない場合、ログは削除されず、s3 バケットに永久に残り、s3 ストレージがいっぱいになる可能性があります。
スキーマ v13 が推奨されます。
手順
LokiStackCR を作成します。次の例に示すように、ストリームベースの保持をグローバルに有効にします。
AWS のグローバルストリームベースの保持の例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- すべてのログストリームの保持ポリシーを設定します。注記: このフィールドは、オブジェクトストレージに保存されたログの保持期間には影響しません。
- 2
- このブロックが CR に追加されると、クラスターで保持が有効になります。
- 3
- ログ stream.spec: 制限を定義するために使用される LogQL クエリー が含まれます。
次の例に示すように、テナントごとにストリームベースの保持を有効にします。
AWS のテナントごとのストリームベースの保持の例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- テナントごとの保持ポリシーを設定します。有効なテナントタイプは、
application、audit、およびinfrastructureです。 - 2
- ログストリームの定義に使用される LogQL クエリー が含まれています。
LokiStackCR を適用します。oc apply -f <filename>.yaml
$ oc apply -f <filename>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4.8. Loki Pod の配置
Pod の toleration またはノードセレクターを使用して、Loki Pod が実行するノードを制御し、他のワークロードがそれらのノードを使用しないようにできます。
LokiStack カスタムリソース (CR) を使用して toleration をログストア Pod に適用し、ノード仕様を使用して taint をノードに適用できます。ノードの taint は、taint を容認しないすべての Pod を拒否するようノードに指示する key:value ペアです。他の Pod にはない特定の key:value ペアを使用すると、ログストア Pod のみがそのノードで実行できるようになります。
ノードセレクターを使用する LokiStack の例
ノードセレクターと toleration を使用する LokiStack CR の例
LokiStack (CR) の nodeSelector フィールドと tolerations フィールドを設定するには、oc explain コマンドを使用して、特定のリソースの説明とフィールドを表示します。
oc explain lokistack.spec.template
$ oc explain lokistack.spec.template出力例
詳細情報用に、特定のフィールドを追加できます。
oc explain lokistack.spec.template.compactor
$ oc explain lokistack.spec.template.compactor出力例
2.4.8.1. 信頼性とパフォーマンスの向上
実稼働環境における Loki の信頼性と効率性を確保するための設定。
2.4.8.2. 有効期間の短いトークンを使用したクラウドベースのログストアへの認証の有効化
ワークロードアイデンティティーフェデレーションを使用すると、有効期間の短いトークンを使用してクラウドベースのログストアに対して認証できます。
手順
認証を有効にするには、次のいずれかのオプションを使用します。
-
OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールすると、有効期間が短いトークンを使用するクラスターが自動的に検出されます。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が
CredentialsRequestオブジェクトを作成するのに必要なデータを提供するように求められます。このオブジェクトにより、シークレットが設定されます。 OpenShift CLI (
oc) を使用して Loki Operator をインストールする場合は、次の例に示すように、ストレージプロバイダーに適したテンプレートを使用してSubscriptionオブジェクトを手動で作成する必要があります。この認証ストラテジーは、指定のストレージプロバイダーでのみサポートされます。Azure サンプルサブスクリプションの例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow AWS サンプルサブスクリプションの例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールすると、有効期間が短いトークンを使用するクラスターが自動的に検出されます。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が
2.4.8.3. ノードの障害を許容するための Loki の設定
Loki Operator は、同じコンポーネントの Pod がクラスター内の異なる使用可能なノードにスケジュールされるように要求する Pod アンチアフィニティールールの設定をサポートしています。
アフィニティーとは、スケジュールするノードを制御する Pod の特性です。非アフィニティーとは、Pod がスケジュールされることを拒否する Pod の特性です。
OpenShift Container Platform では、Pod のアフィニティー と Pod の非アフィニティー によって、他の Pod のキー/値ラベルに基づいて、Pod のスケジュールに適したノードを制限できます。
Operator は、すべての Loki コンポーネント (compactor、distributor、gateway、indexGateway、ingester、querier、queryFrontend、および ruler コンポーネントを含む) に対してデフォルトの優先 podAntiAffinity ルールを設定します。
requiredDuringSchedulingIgnoredDuringExecution フィールドに必要な設定を指定して、Loki コンポーネントの希望の podAntiAffinity 設定を上書きできます。
インジェスターコンポーネントのユーザー設定の例
2.4.8.4. クラスターの再起動中の LokiStack 動作
OpenShift Container Platform クラスターが再起動されると、LokiStack の取り込みとクエリーパスは、ノードで使用可能な CPU およびメモリーリソース内で引き続き動作します。つまり、OpenShift Container Platform クラスターの更新中に LokiStack でダウンタイムは発生しません。この動作は、PodDisruptionBudget リソースを使用して実現されます。Loki Operator は、Loki に PodDisruptionBudget リソースをプロビジョニングするため、特定の条件下で通常の動作を保証するためにコンポーネントごとに必要最小限、使用可能な Pod 数が決定されます。
2.4.8.5. 高度なデプロイメントとスケーラビリティー
高可用性、スケーラビリティー、エラー処理のための特殊な設定。
2.4.8.6. ゾーン対応のデータレプリケーション
Loki Operator は、Pod トポロジーの分散制約を通じて、ゾーン対応のデータレプリケーションのサポートを提供します。この機能を有効にすると、信頼性が向上し、1 つのゾーンで障害が発生した場合のログ損失に対する保護が強化されます。デプロイメントサイズを 1x.extra.small、1x.small、または 1x.medium に設定すると、replication.factor フィールドは自動的に 2 に設定されます。
適切なレプリケーションを実現するには、少なくともレプリケーション係数で指定されているのと同じ数のアベイラビリティーゾーンが必要です。レプリケーション係数より多くのアベイラビリティーゾーンを設定することは可能ですが、ゾーンが少ないと書き込みエラーが発生する可能性があります。最適な運用を実現するには、各ゾーンで同じ数のインスタンスをホストする必要があります。
ゾーンレプリケーションが有効になっている LokiStack CR の例
2.4.8.7. 障害が発生したゾーンからの Loki Pod の回復
OpenShift Container Platform では、特定のアベイラビリティーゾーンのリソースにアクセスできなくなると、ゾーン障害が発生します。アベイラビリティーゾーンは、冗長性とフォールトトレランスを強化することを目的とした、クラウドプロバイダーのデータセンター内の分離されたエリアです。OpenShift Container Platform クラスターがこの問題を処理するように設定されていない場合、ゾーン障害によりサービスまたはデータの損失が発生する可能性があります。
Loki Pod は StatefulSet の一部であり、StorageClass オブジェクトによってプロビジョニングされた永続ボリューム要求 (PVC) が付属しています。各 Loki Pod とその PVC は同じゾーンに存在します。クラスターでゾーン障害が発生すると、StatefulSet コントローラーが、障害が発生したゾーン内の影響を受けた Pod の回復を自動的に試みます。
次の手順では、障害が発生したゾーン内の PVC とそこに含まれるすべてのデータを削除します。完全なデータ損失を回避するには、LokiStack CR のレプリケーション係数フィールドを常に 1 より大きい値に設定して、Loki が確実にレプリケートされるようにする必要があります。
前提条件
-
LokiStackCR のレプリケーション係数が 1 より大きいことを確認している。 - コントロールプレーンによってゾーン障害が検出され、障害が発生したゾーン内のノードがクラウドプロバイダー統合によってマークされている。
StatefulSet コントローラーは、障害が発生したゾーン内の Pod を自動的に再スケジュールしようとします。関連する PVC も障害が発生したゾーンにあるため、別のゾーンへの自動再スケジュールは機能しません。新しいゾーンでステートフル Loki Pod とそのプロビジョニングされた PVC を正常に再作成できるようにするには、障害が発生したゾーンの PVC を手動で削除する必要があります。
手順
次のコマンドを実行して、
Pending中ステータスの Pod をリスト表示します。oc get pods --field-selector status.phase==Pending -n openshift-logging
$ oc get pods --field-selector status.phase==Pending -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get podsの出力例NAME READY STATUS RESTARTS AGE logging-loki-index-gateway-1 0/1 Pending 0 17m logging-loki-ingester-1 0/1 Pending 0 16m logging-loki-ruler-1 0/1 Pending 0 16m
NAME READY STATUS RESTARTS AGE1 logging-loki-index-gateway-1 0/1 Pending 0 17m logging-loki-ingester-1 0/1 Pending 0 16m logging-loki-ruler-1 0/1 Pending 0 16mCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- これらの Pod は、障害が発生したゾーンに対応する PVC があるため、
Pendingステータスになっています。
次のコマンドを実行して、
Pendingステータスの PVC をリストします。oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r
$ oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -rCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pvcの出力例storage-logging-loki-index-gateway-1 storage-logging-loki-ingester-1 wal-logging-loki-ingester-1 storage-logging-loki-ruler-1 wal-logging-loki-ruler-1
storage-logging-loki-index-gateway-1 storage-logging-loki-ingester-1 wal-logging-loki-ingester-1 storage-logging-loki-ruler-1 wal-logging-loki-ruler-1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して Pod の PVC を削除します。
oc delete pvc <pvc_name> -n openshift-logging
$ oc delete pvc <pvc_name> -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して Pod を削除します。
oc delete pod <pod_name> -n openshift-logging
$ oc delete pod <pod_name> -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow これらのオブジェクトが正常に削除されると、使用可能なゾーンでオブジェクトが自動的に再スケジュールされます。
2.4.8.7.1. terminating 状態の PVC のトラブルシューティング
PVC メタデータファイナライザーが kubernetes.io/pv-protection に設定されている場合、PVC が削除されずに terminating 状態でハングする可能性があります。ファイナライザーを削除すると、PVC が正常に削除されるようになります。
以下のコマンドを実行して各 PVC のファイナライザーを削除し、削除を再試行します。
oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging$ oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-loggingCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4.8.8. Loki レート制限エラーのトラブルシューティング
Log Forwarder API がレート制限を超える大きなメッセージブロックを Loki に転送すると、Loki により、レート制限 (429) エラーが生成されます。
これらのエラーは、通常の動作中に発生する可能性があります。たとえば、すでにいくつかのログがあるクラスターにロギングを追加する場合、ロギングが既存のログエントリーをすべて取り込もうとするとレート制限エラーが発生する可能性があります。この場合、新しいログの追加速度が合計レート制限よりも低い場合、履歴データは最終的に取り込まれ、ユーザーの介入を必要とせずにレート制限エラーが解決されます。
レート制限エラーが引き続き発生する場合は、LokiStack カスタムリソース (CR) を変更することで問題を解決できます。
LokiStack CR は、Grafana がホストする Loki では利用できません。このトピックは、Grafana がホストする Loki サーバーには適用されません。
条件
- Log Forwarder API は、ログを Loki に転送するように設定されている。
システムは、次のような 2MB を超えるメッセージのブロックを Loki に送信する。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc logs -n openshift-logging -l component=collectorと入力すると、クラスター内のコレクターログに、次のいずれかのエラーメッセージを含む行が表示されます。429 Too Many Requests Ingestion rate limit exceeded
429 Too Many Requests Ingestion rate limit exceededCopy to Clipboard Copied! Toggle word wrap Toggle overflow Vector エラーメッセージの例
2023-08-25T16:08:49.301780Z WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true2023-08-25T16:08:49.301780Z WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow Fluentd エラーメッセージの例
2023-08-30 14:52:15 +0000 [warn]: [default_loki_infra] failed to flush the buffer. retry_times=2 next_retry_time=2023-08-30 14:52:19 +0000 chunk="604251225bf5378ed1567231a1c03b8b" error_class=Fluent::Plugin::LokiOutput::LogPostError error="429 Too Many Requests Ingestion rate limit exceeded for user infrastructure (limit: 4194304 bytes/sec) while attempting to ingest '4082' lines totaling '7820025' bytes, reduce log volume or contact your Loki administrator to see if the limit can be increased\n"
2023-08-30 14:52:15 +0000 [warn]: [default_loki_infra] failed to flush the buffer. retry_times=2 next_retry_time=2023-08-30 14:52:19 +0000 chunk="604251225bf5378ed1567231a1c03b8b" error_class=Fluent::Plugin::LokiOutput::LogPostError error="429 Too Many Requests Ingestion rate limit exceeded for user infrastructure (limit: 4194304 bytes/sec) while attempting to ingest '4082' lines totaling '7820025' bytes, reduce log volume or contact your Loki administrator to see if the limit can be increased\n"Copy to Clipboard Copied! Toggle word wrap Toggle overflow このエラーは受信側にも表示されます。たとえば、LokiStack 取り込み Pod で以下を行います。
Loki 取り込みエラーメッセージの例
level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream
level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for streamCopy to Clipboard Copied! Toggle word wrap Toggle overflow
手順
LokiStackCR のingestionBurstSizeおよびingestionRateフィールドを更新します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
ingestionBurstSizeフィールドは、ディストリビューターレプリカごとに最大ローカルレート制限サンプルサイズを MB 単位で定義します。この値はハードリミットです。この値を、少なくとも 1 つのプッシュリクエストで想定される最大ログサイズに設定します。ingestionBurstSize値より大きい単一リクエストは使用できません。- 2
ingestionRateフィールドは、1 秒あたりに取り込まれるサンプルの最大量 (MB 単位) に対するソフト制限です。ログのレートが制限を超えているにもかかわらず、コレクターがログの送信を再試行すると、レート制限エラーが発生します。合計平均が制限よりも少ない場合に限り、システムは回復し、ユーザーの介入なしでエラーが解決されます。
2.5. Loki での OTLP データ取り込み
Logging 6.1 では、OpenTelemetry Protocol (OTLP) を使用した API エンドポイントが有効になります。OTLP は Loki 専用に設計されたものではない標準化された形式であるため、OpenTelemetry のデータ形式を Loki のデータモデルにマッピングするには、Loki 側で追加の設定が必要です。OTLP には、ストリームラベル や 構造化メタデータ などの概念がありません。代わりに、OTLP はログエントリーに関するメタデータを 属性 として提供し、次の 3 つのカテゴリーにグループ化します。
- リソース
- Scope
- Log
これにより、必要に応じて複数のエントリーに同時に、または個別にメタデータを設定できます。
2.5.1. OTLP データ取り込み用の LokiStack 設定
OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
OTLP 取り込み用に LokiStack カスタムリソース (CR) を設定するには、次の手順に従います。
前提条件
- Loki セットアップが、OTLP ログの取り込みを有効にするためにスキーマバージョン 13 で導入された構造化メタデータをサポートしていることを確認します。
手順
スキーマバージョンを設定します。
新しい
LokiStackCR を作成する場合は、ストレージスキーマ設定でversion: v13を設定します。注記既存の設定の場合は、
version: v13と現在より後のeffectiveDateを持つ新しいスキーマエントリーを追加します。スキーマバージョンの更新の詳細は、Upgrading Schemas (Grafana ドキュメント) を参照してください。
ストレージスキーマを次のように設定します。
ストレージスキーマの設定例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow effectiveDateを過ぎると v13 スキーマが有効になり、LokiStackは構造化メタデータを保存できるようになります。
2.5.2. 属性マッピング
Loki Operator が openshift-logging モードに設定されている場合、デフォルトの属性マッピングセットが自動的に適用されます。これらのマッピングは、特定の OTLP 属性を Loki のストリームラベルおよび構造化メタデータと一致させます。
一般的なセットアップでは、デフォルトのマッピングで十分です。ただし、次の場合には属性マッピングをカスタマイズする必要があることもあります。
- カスタムコレクターを使用する場合: セットアップに追加の属性を生成するカスタムコレクターが含まれている場合は、これらの属性を Loki に保持するためにマッピングをカスタマイズすることを検討してください。
- 属性の詳細レベルを調整する場合: デフォルトの属性セットが必要以上に詳細な場合は、必須の属性のみに減らすことができます。そうすることで、過剰なデータ保存を回避し、ロギングプロセスを合理化できます。
ストリームラベルと構造化メタデータのいずれにもマッピングされていない属性は、Loki に保存されません。
2.5.2.1. OpenShift のカスタム属性マッピング
Loki Operator を openshift-logging モードで使用する場合、属性マッピングは OpenShift のデフォルトに従いますが、カスタムマッピングを設定して調整できます。カスタムマッピングにより、特定のニーズを満たすための追加の設定が可能になります。
openshift-logging モードでは、カスタム属性マッピングをすべてのテナントに対してグローバルに設定することも、必要に応じて個々のテナントに対して設定することもできます。カスタムマッピングが定義されると、OpenShift のデフォルトに追加されます。デフォルトの推奨ラベルが不要な場合は、テナント設定で無効にできます。
Loki Operator と Loki の主な違いは、継承の処理にあります。Loki は、デフォルトでは default_resource_attributes_as_index_labels のみをテナントにコピーしますが、Loki Operator は openshift-logging モードで各テナントにグローバル設定全体を適用します。
LokiStack 内では、属性マッピング設定は limits 設定を通じて管理されます。
グローバルおよびテナントごとの OTLP 設定の両方で、属性をストリームラベルまたは構造化メタデータにマッピングできます。ログエントリーを Loki ストレージに保存するには、少なくとも 1 つのストリームラベルが必要です。設定がその要件を満たしていることを確認してください。
ストリームラベルはリソースレベルの属性からのみ導出され、LokiStack リソース構造はそれを反映します。
対照的に、構造化メタデータはリソース、スコープ、またはログレベルの属性から生成できます。
Loki で類似の属性をマッピングする場合は、、属性名に regex: true を設定して正規表現を使用します。
データ量が増加する可能性があるため、ストリームラベルに正規表現を使用することは避けてください。
2.5.2.2. OpenShift のデフォルトのカスタマイズ
openshift-logging モードでは、特定の属性が必須であり、OpenShift 機能でのロールのため、設定から削除できません。推奨 のラベルが付いているその他の属性は、パフォーマンスに影響がある場合は無効化されている可能性があります。
カスタム属性なしで openshift-logging モードを使用すると、即座に OpenShift ツールとの互換性が確保されます。ストリームラベルまたは構造化メタデータとして追加の属性が必要な場合は、カスタム設定を使用します。カスタム設定はデフォルト設定とマージできます。
2.5.2.3. 推奨属性の削除
openshift-logging モードでデフォルト属性を減らすには、推奨属性を無効にします。
- 1
- 推奨属性を削除するには、
disableRecommendedAttributes: trueを設定します。これにより、デフォルトの属性が 必須属性 に制限されます。
このオプションは、デフォルトの属性によってパフォーマンスやストレージの問題が発生する場合に役立ちます。この設定により、デフォルトのストリームラベルが削除されるため、クエリーのパフォーマンスに悪影響が及ぶ可能性があります。クエリーに不可欠な属性を保持するためには、このオプションをカスタム属性設定と組み合わせる必要があります。
2.6. OpenTelemetry データモデル
このドキュメントでは、Logging 6.1 における Red Hat OpenShift Logging の OpenTelemetry サポートのプロトコルおよびセマンティック規約について概説します。
OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
2.6.1. 転送および取り込みプロトコル
Red Hat OpenShift Logging は、OTLP 仕様 を使用してログを収集し、OpenTelemetry エンドポイントに転送します。OTLP はテレメトリーデータをエンコード、転送、配信します。ログストリームを取り込むための OTLP エンドポイントを提供する Loki ストレージをデプロイすることもできます。このドキュメントでは、さまざまな OpenShift クラスターソースから収集されたログのセマンティック規約を定義します。
2.6.2. セマンティック規約
このソリューションのログコレクターは、次のログストリームを収集します。
- コンテナーログ
- クラスターノードジャーナルログ
- クラスターノード監査ログ
- Kubernetes および OpenShift API サーバーログ
- OpenShift Virtual Network (OVN) ログ
これらのストリームは、OpenTelemetry セマンティック属性によって定義されたセマンティック規約に従って転送できます。OpenTelemetry のセマンティック規約では、リソースを属性によって識別される、テレメトリーを生成するエンティティーのイミュータブルな表現と定義しています。たとえばコンテナー内で実行されているプロセスには、container_name、cluster_id、pod_name、namespace などの属性が含まれ、場合によっては deployment または app_name も含まれます。これらの属性はリソースオブジェクトの下にグループ化されており、繰り返しを減らし、テレメトリーデータとしてのログ送信を最適化するのに役立ちます。
ログには、リソース属性に加え、計装ライブラリーに固有のスコープ属性と、各ログエントリーに固有のログ属性も含まれる場合があります。これらの属性は、各ログエントリーに関するより詳細な情報を提供し、ストレージ内のログをクエリーする際のフィルタリング機能を強化します。
次のセクションでは、一般的に転送される属性を定義しています。
2.6.2.1. ログエントリー構造
すべてのログストリームには、次の ログデータ フィールドが含まれます。
適用可能ソース 列は、各フィールドに適用するログソースを示しています。
-
all: このフィールドは、すべてのログに存在します。 -
container: このフィールドは、アプリケーションとインフラストラクチャーの両方の Kubernetes コンテナーログに存在します。 -
audit: このフィールドは、Kubernetes ログ、OpenShift API ログ、OVN ログに存在します。 -
auditd: このフィールドは、ノード監査ログに存在します。 -
journal: このフィールドは、ノードジャーナルログに存在します。
| 名前 | 適用可能ソース | コメント |
|---|---|---|
|
| all | |
|
| all | |
|
| all | |
|
| container、journal | |
|
| all | (オプション) ストリーム固有の属性を転送する場合に存在します |
2.6.2.2. 属性
次の表に示すとおり、ログエントリーにはソースに基づくリソース属性、スコープ属性、ログ属性のセットが含まれます。
場所 列は属性のタイプを示しています。
-
resource: リソース属性を示します -
scope: スコープ属性を示します -
log: ログ属性を示します
ストレージ 列は、属性がデフォルトの openshift-logging モードを使用して LokiStack に保存されているか、および保存場所を示しています。
stream label:- 特定のラベルに基づく効率的なフィルタリングとクエリーを可能にします。
-
Loki Operator が設定でこの属性を強制する場合は、
requiredとしてラベル付けできます。
structured metadata:- キーと値のペアの詳細なフィルタリングと保存を可能にします。
- JSON 解析を使用することなく、合理化されたクエリーに直接ラベルを使用できるようになります。
OTLP を使用すると、ユーザーは JSON 解析を使用するのではなく、ラベルで直接クエリーをフィルタリングできるため、クエリーの速度と効率が向上します。
| 名前 | 場所 | 適用可能ソース | ストレージ (LokiStack) | コメント |
|---|---|---|---|---|
|
| resource | all | required stream label |
(非推奨) 互換性属性。 |
|
| resource | all | required stream label |
(非推奨) 互換性属性。 |
|
| resource | container | stream label |
(非推奨) 互換性属性。 |
|
| resource | all | stream label |
(非推奨) 互換性属性。 |
|
| resource | container | required stream label |
(非推奨) 互換性属性。 |
|
| resource | container | stream label |
(非推奨) 互換性属性。 |
|
| resource | all |
(非推奨) 互換性属性。 | |
|
| log | container、journal |
(非推奨) 互換性属性。 | |
|
| resource | all | required stream label | |
|
| resource | all | required stream label | |
|
| resource | all | required stream label | |
|
| resource | all | structured metadata | |
|
| resource | all | stream label | |
|
| resource | container | required stream label | |
|
| resource | container | stream label | |
|
| resource | container | structured metadata | |
|
| resource | container | stream label | |
|
| resource | container | structured metadata | |
|
| resource | container | stream label | Pod 作成者に基づき条件付きで転送されます |
|
| resource | container | stream label | Pod 作成者に基づき条件付きで転送されます |
|
| resource | container | stream label | Pod 作成者に基づき条件付きで転送されます |
|
| resource | container | stream label | Pod 作成者に基づき条件付きで転送されます |
|
| resource | container | structured metadata | Pod 作成者に基づき条件付きで転送されます |
|
| resource | container | stream label | Pod 作成者に基づき条件付きで転送されます |
|
| log | container | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| log | audit | structured metadata | |
|
| resource | journal | structured metadata | |
|
| resource | journal | structured metadata | |
|
| resource | journal | structured metadata | |
|
| resource | journal | structured metadata | |
|
| resource | journal | stream label | |
|
| log | journal | structured metadata | |
|
| log | journal | structured metadata |
互換性属性 としてマークされた属性は、ViaQ データモデルとの最小限の下位互換性をサポートします。これらは非推奨の属性であり、UI 機能の継続を保証するための互換性レイヤーとして機能します。これらの属性は、Logging UI が今後のリリースにおける OpenTelemetry 対応機能を完全にサポートするまで引き続きサポートされます。
Loki は、ストレージへの保存時に属性名を変更します。名前は小文字になり、セット内のすべての文字 (.、/、-) はアンダースコア (_) に置き換えられます。たとえば、k8s.namespace.name は k8s_namespace_name になります。
2.7. ロギングの可視化
ロギングの可視化は、Cluster Observability Operator の Logging UI プラグイン をデプロイすることで提供されます。そのためには Operator のインストールが必要です。
現在は テクノロジープレビュー (TP) 機能である Cluster Observability Operator (COO) の一般提供 (GA) リリースが近づくまで、Red Hat は、OpenShift Container Platform 4.14 以降の Logging UI プラグイン の COO で Logging 6.0 以降を使用しているお客様にサポートを提供します。COO にはいくつかの独立した機能が含まれており、その一部はまだテクノロジープレビュー機能であるため、このサポート例外は一時的なものです。ただし、Logging UI プラグインは GA の準備が完了しています。
Legal Notice
Copyright © 2025 Red Hat
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}