10.7. Zero Trust Workload Identity Manager のモニタリング

10.7.1. ユーザーワークロードモニタリングの有効化
リンクのコピー

クラスターでユーザーワークロードモニタリングを設定することで、ユーザー定義プロジェクトのモニタリングを有効にできます。

前提条件

cluster-admin クラスターロールを持つユーザーとしてクラスターにアクセスできる。

手順

cluster-monitoring-config.yaml ファイルを作成し、ConfigMap を定義および設定します。

apiVersion: v1
kind: ConfigMap
metadata:
  name: cluster-monitoring-config
  namespace: openshift-monitoring
data:
  config.yaml: |
    enableUserWorkload: true

apiVersion: v1
kind: ConfigMap
metadata:
  name: cluster-monitoring-config
  namespace: openshift-monitoring
data:
  config.yaml: |
    enableUserWorkload: true

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して ConfigMap を適用します。
```
oc apply -f cluster-monitoring-config.yaml
```
```
$ oc apply -f cluster-monitoring-config.yaml
```
Copy to Clipboard Toggle word wrap

検証

ユーザーワークロードのモニタリングコンポーネントが openshift-user-workload-monitoring namespace で実行されていることを確認します。

oc -n openshift-user-workload-monitoring get pod

$ oc -n openshift-user-workload-monitoring get pod

Copy to Clipboard

Toggle word wrap

出力例

NAME                                   READY   STATUS    RESTARTS   AGE
prometheus-operator-6cb6bd9588-dtzxq   2/2     Running   0          50s
prometheus-user-workload-0             6/6     Running   0          48s
prometheus-user-workload-1             6/6     Running   0          48s
thanos-ruler-user-workload-0           4/4     Running   0          42s
thanos-ruler-user-workload-1           4/4     Running   0          42s

NAME                                   READY   STATUS    RESTARTS   AGE
prometheus-operator-6cb6bd9588-dtzxq   2/2     Running   0          50s
prometheus-user-workload-0             6/6     Running   0          48s
prometheus-user-workload-1             6/6     Running   0          48s
thanos-ruler-user-workload-0           4/4     Running   0          42s
thanos-ruler-user-workload-1           4/4     Running   0          42s

Copy to Clipboard

Toggle word wrap

prometheus-operator、prometheus-user-workload、thanos-ruler-user-workload などの Pod のステータスが Running である必要があります。

10.7.2. サービスモニターを使用した SPIRE Server のメトリクス収集の設定
リンクのコピー

SPIRE Server のオペランドは、デフォルトで /metrics エンドポイントのポート 9402 でメトリクスを公開します。Prometheus Operator によるカスタムメトリクスの収集を可能にする ServiceMonitor カスタムリソース (CR) を作成することで、SPIRE Server のメトリクス収集を設定できます。

前提条件

cluster-admin クラスターロールを持つユーザーとしてクラスターにアクセスできる。
Zero Trust Workload Identity Manager がインストールされている。
クラスターに SPIRE Server のオペランドがデプロイされている。
ユーザーワークロードモニタリングが有効になっている。

手順

ServiceMonitor CR を作成します。

ServiceMonitor CR を定義する YAML ファイルを作成します。

servicemonitor-spire-server ファイルの例

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  labels:
    app.kubernetes.io/name: server
    app.kubernetes.io/instance: spire
  name: spire-server-metrics
  namespace: zero-trust-workload-identity-manager
spec:
  endpoints:
  - port: metrics
    interval: 30s
    path: /metrics
  selector:
    matchLabels:
      app.kubernetes.io/name: server
      app.kubernetes.io/instance: spire
  namespaceSelector:
    matchNames:
    - zero-trust-workload-identity-manager

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  labels:
    app.kubernetes.io/name: server
    app.kubernetes.io/instance: spire
  name: spire-server-metrics
  namespace: zero-trust-workload-identity-manager
spec:
  endpoints:
  - port: metrics
    interval: 30s
    path: /metrics
  selector:
    matchLabels:
      app.kubernetes.io/name: server
      app.kubernetes.io/instance: spire
  namespaceSelector:
    matchNames:
    - zero-trust-workload-identity-manager

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して ServiceMonitor CR を作成します。
```
oc create -f servicemonitor-spire-server.yaml
```
```
$ oc create -f servicemonitor-spire-server.yaml
```
Copy to Clipboard Toggle word wrap
ServiceMonitor CR が作成されると、ユーザーワークロードの Prometheus インスタンスが、SPIRE Server からのメトリクス収集を開始します。収集されたメトリクスには、job="spire-server" というラベルが付けられます。

検証

OpenShift Container Platform Web コンソールで、Observe Targets に移動します。
Label フィルターフィールドに次のラベルを入力して、メトリクスターゲットをフィルタリングします。
```
service=spire-server
```
```
$ service=spire-server
```
Copy to Clipboard Toggle word wrap
spire-server-metrics エントリーの Status 列に Up と表示されていることを確認します。

10.7.3. サービスモニターを使用した SPIRE Agent のメトリクス収集の設定
リンクのコピー

SPIRE Agent のオペランドは、デフォルトで /metrics エンドポイントのポート 9402 でメトリクスを公開します。Prometheus Operator によるカスタムメトリクスの収集を可能にする ServiceMonitor カスタムリソース (CR) を作成することで、SPIRE Agent のメトリクス収集を設定できます。

前提条件

cluster-admin クラスターロールを持つユーザーとしてクラスターにアクセスできる。
Zero Trust Workload Identity Manager がインストールされている。
クラスターに SPIRE Agent のオペランドをデプロイしている。
ユーザーワークロードモニタリングが有効になっている。

手順

ServiceMonitor CR を作成します。

ServiceMonitor CR を定義する YAML ファイルを作成します。

servicemonitor-spire-agent.yaml ファイルの例

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  labels:
    app.kubernetes.io/name: agent
    app.kubernetes.io/instance: spire
  name: spire-agent-metrics
  namespace: zero-trust-workload-identity-manager
spec:
  endpoints:
  - port: metrics
    interval: 30s
    path: /metrics
  selector:
    matchLabels:
      app.kubernetes.io/name: agent
      app.kubernetes.io/instance: spire
  namespaceSelector:
    matchNames:
    - zero-trust-workload-identity-manager

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  labels:
    app.kubernetes.io/name: agent
    app.kubernetes.io/instance: spire
  name: spire-agent-metrics
  namespace: zero-trust-workload-identity-manager
spec:
  endpoints:
  - port: metrics
    interval: 30s
    path: /metrics
  selector:
    matchLabels:
      app.kubernetes.io/name: agent
      app.kubernetes.io/instance: spire
  namespaceSelector:
    matchNames:
    - zero-trust-workload-identity-manager

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して ServiceMonitor CR を作成します。
```
oc create -f servicemonitor-spire-agent.yaml
```
```
$ oc create -f servicemonitor-spire-agent.yaml
```
Copy to Clipboard Toggle word wrap
ServiceMonitor CR が作成されると、ユーザーワークロードの Prometheus インスタンスが、SPIRE エージェントからのメトリクス収集を開始します。収集されたメトリクスには、job="spire-agent" というラベルが付けられます。

検証

OpenShift Container Platform Web コンソールで、Observe Targets に移動します。
Label フィルターフィールドに次のラベルを入力して、メトリクスターゲットをフィルタリングします。
```
service=spire-agent
```
```
$ service=spire-agent
```
Copy to Clipboard Toggle word wrap
spire-agent-metrics エントリーの Status 列に Up と表示されていることを確認します。

10.7.4. Zero Trust Workload Identity Manager のメトリクスの照会
リンクのコピー

クラスター管理者、またはすべての namespace に対する表示アクセス権を持つユーザーは、OpenShift Container Platform Web コンソールまたはコマンドラインを使用して、SPIRE Agent および SPIRE Server のメトリクスを照会できます。照会すると、指定したジョブラベルに一致する、SPIRE コンポーネントから収集されたすべてのメトリクスが取得されます。

前提条件

cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。
Zero Trust Workload Identity Manager がインストールされている。
クラスターに SPIRE Server と SPIRE Agent のオペランドがデプロイされている。
ServiceMonitor オブジェクトを作成して、モニタリングとメトリクスの収集を有効化している。

手順

OpenShift Container Platform Web コンソールで、Observe Metrics に移動します。
クエリーフィールドに次の PromQL 式を入力して、SPIRE Server のメトリクスを照会します。
```
{job="spire-server"}
```
```
{job="spire-server"}
```
Copy to Clipboard Toggle word wrap
クエリーフィールドに次の PromQL 式を入力して、SPIRE Agent のメトリクスを照会します。
```
{job="spire-agent"}
```
```
{job="spire-agent"}
```
Copy to Clipboard Toggle word wrap

10.7.1. ユーザーワークロードモニタリングの有効化
リンクのコピー

10.7.2. サービスモニターを使用した SPIRE Server のメトリクス収集の設定
リンクのコピー

10.7.3. サービスモニターを使用した SPIRE Agent のメトリクス収集の設定
リンクのコピー

10.7.4. Zero Trust Workload Identity Manager のメトリクスの照会
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

10.7. Zero Trust Workload Identity Manager のモニタリング

10.7.1. ユーザーワークロードモニタリングの有効化リンクのコピーリンクがクリップボードにコピーされました!

10.7.2. サービスモニターを使用した SPIRE Server のメトリクス収集の設定リンクのコピーリンクがクリップボードにコピーされました!

10.7.3. サービスモニターを使用した SPIRE Agent のメトリクス収集の設定リンクのコピーリンクがクリップボードにコピーされました!

10.7.4. Zero Trust Workload Identity Manager のメトリクスの照会リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

10.7.1. ユーザーワークロードモニタリングの有効化
リンクのコピー

10.7.2. サービスモニターを使用した SPIRE Server のメトリクス収集の設定
リンクのコピー

10.7.3. サービスモニターを使用した SPIRE Agent のメトリクス収集の設定
リンクのコピー

10.7.4. Zero Trust Workload Identity Manager のメトリクスの照会
リンクのコピー