Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

분산 추적

OpenShift Container Platform 4.19

OpenShift Container Platform에서 분산 추적 구성 및 사용

Red Hat OpenShift Documentation Team

초록

분산 추적을 사용하여 OpenShift Container Platform의 분산 시스템을 통과하는 마이크로서비스 트랜잭션을 저장, 분석 및 시각화합니다.

1장. Red Hat OpenShift Distributed Tracing Platform 3.7 릴리스 노트
링크 복사

1.1. 릴리스 정보
링크 복사

Distributed Tracing Platform 3.7은 Tempo Operator 0.18.0을 통해 제공되며 오픈 소스 Grafana Tempo 2.8.2를 기반으로 합니다.

참고

일부 연결된 Jira 티켓은 Red Hat 자격 증명으로만 접근할 수 있습니다.

참고

지원되는 기능만 문서화되어 있습니다. 문서화되지 않은 기능은 현재 지원되지 않습니다. 기능에 대한 도움이 필요하면 Red Hat 지원팀에 문의하세요.

1.2. 새로운 기능 및 개선 사항
링크 복사

API 액세스를 제한하는 네트워크 정책
이 업데이트를 통해 Tempo Operator는 사용된 API에 대한 액세스를 제한하는 네트워크 정책을 생성합니다.

1.3. 확인된 문제
링크 복사

Tempo 쿼리 프런트엔드가 추적 JSON을 가져오지 못했습니다.

Jaeger UI에서 추적을 클릭하고 페이지를 새로 고치거나 Tempo 쿼리 프런트엔드에서 추적추적 타임라인추적 JSON 에 액세스하면 Tempo 쿼리 포드가 EOF 오류로 실패할 수 있습니다.

이 문제를 해결하려면 분산 추적 UI 플러그인을 사용하여 추적을 확인하세요.

추적-5483

1.4. 해결된 문제
링크 복사

이 릴리스에서는 다음 CVE가 수정되었습니다.

1.5. 지원 요청
링크 복사

이 문서에 설명된 절차 또는 일반적으로 OpenShift Container Platform에 문제가 발생하는 경우 Red Hat 고객 포털에 액세스하십시오.

고객 포털에서 다음을 수행할 수 있습니다.

  • Red Hat 제품과 관련된 기사 및 솔루션에 대한 Red Hat 지식베이스를 검색하거나 살펴볼 수 있습니다.
  • Red Hat 지원에 대한 지원 케이스 제출할 수 있습니다.
  • 다른 제품 설명서에 액세스 가능합니다.

클러스터의 문제를 식별하려면 OpenShift Cluster Manager 의 Insights를 사용할 수 있습니다. Insights는 문제에 대한 세부 정보 및 문제 해결 방법에 대한 정보를 제공합니다.

이 문서를 개선하기 위한 제안이 있거나 오류를 발견한 경우, 가장 관련성 있는 문서 구성 요소에 대한 Jira 이슈를 제출하세요. 섹션 이름 및 OpenShift Container Platform 버전과 같은 구체적인 정보를 제공합니다.

2장. 분산 추적 플랫폼에 대하여
링크 복사

2.1. 분산 추적의 핵심 개념
링크 복사

사용자가 애플리케이션에서 작업을 수행할 때마다 응답을 생성하기 위해 참여하도록 다양한 서비스를 필요로 할 수 있는 아키텍처에 의해 요청이 실행됩니다. Red Hat OpenShift Distributed Tracing Platform을 사용하면 애플리케이션을 구성하는 다양한 마이크로서비스를 통한 요청 경로를 기록하는 분산 추적을 수행할 수 있습니다.

분산 추적은 분산 트랜잭션에 있는 전체 이벤트 체인을 이해하기 위해 일반적으로 다양한 프로세스 또는 호스트에서 실행되는 다양한 작업 단위에 대한 정보를 결합하는 데 사용되는 기술입니다. 개발자는 분산 추적을 사용하여 대규모 마이크로 서비스 아키텍처에서 호출 흐름을 시각화할 수 있습니다. 직렬화, 병렬 처리 및 대기 시간 소스를 이해하는 데 유용합니다.

Red Hat OpenShift Distributed Tracing Platform은 마이크로서비스 스택 전체에서 개별 요청의 실행을 기록하고 이를 추적으로 표시합니다. 추적은 시스템을 통한 데이터/실행 경로입니다. 엔드투엔드 추적은 하나 이상의 스팬으로 구성됩니다.

스팬은 작업 이름, 작업 시작 시간, 기간, 그리고 잠재적으로 태그와 로그를 포함하는 Red Hat OpenShift Distributed Tracing Platform의 논리적 작업 단위를 나타냅니다. 기간은 중첩되어 인과 관계를 모델링하도록 주문될 수 있습니다.

서비스 소유자로서 분산 추적을 사용하여 서비스 아키텍처에 대한 정보를 수집하도록 서비스를 조정할 수 있습니다. Red Hat OpenShift Distributed Tracing Platform을 사용하면 최신 클라우드 네이티브 마이크로서비스 기반 애플리케이션에서 구성 요소 간 상호 작용을 모니터링하고, 네트워크 프로파일링하고, 문제를 해결할 수 있습니다.

분산 추적 플랫폼을 사용하면 다음 기능을 수행할 수 있습니다.

  • 분산 트랜잭션 모니터링
  • 성능 및 대기 시간 최적화
  • 근본 원인 분석 수행

Distributed Tracing Platform을 OpenShift Container Platform의 다른 관련 구성 요소와 결합할 수 있습니다.

  • TempoStack 인스턴스로 추적을 전달하기 위한 OpenTelemetry의 Red Hat 빌드
  • 클러스터 관찰성 운영자(COO)의 분산 추적 UI 플러그인

2.2. Red Hat OpenShift 분산 추적 플랫폼 기능
링크 복사

Red Hat OpenShift Distributed Tracing Platform은 다음과 같은 기능을 제공합니다.

  • Kiali와 통합 – 올바르게 구성하면 Kiali 콘솔에서 분산 추적 플랫폼 데이터를 볼 수 있습니다.
  • 높은 확장성 – 분산 추적 플랫폼 백엔드는 단일 장애 지점이 없도록 설계되었으며 비즈니스 요구 사항에 따라 확장 가능합니다.
  • 분산 컨텍스트 전파 - 다양한 구성 요소의 데이터를 함께 연결하여 완전한 엔드 투 엔드 추적을 만들 수 있습니다.
  • Zipkin과의 하위 호환성 – Red Hat OpenShift Distributed Tracing Platform에는 Zipkin을 바로 대체할 수 있는 API가 있지만, Red Hat은 이 릴리스에서 Zipkin 호환성을 지원하지 않습니다.

2.3. Red Hat OpenShift 분산 추적 플랫폼 아키텍처
링크 복사

Red Hat OpenShift Distributed Tracing Platform은 추적 데이터를 수집, 저장, 표시하기 위해 함께 작동하는 여러 구성 요소로 이루어져 있습니다.

  • Red Hat OpenShift 분산 추적 플랫폼 - 이 구성 요소는 오픈 소스 Grafana Tempo 프로젝트를 기반으로 합니다.

    • 게이트웨이 – 게이트웨이는 배포자 또는 쿼리 프런트엔드 서비스에 대한 요청의 인증, 권한 부여 및 전달을 처리합니다.
    • 배포자 – 배포자는 Jaeger, OpenTelemetry, Zipkin을 포함한 여러 형식의 스팬을 허용합니다. 이 경로는 traceID 를 해시하고 분산 일관된 해시 링을 사용하여 Ingesters로 구성됩니다.
    • Ingester - Ingester는 추적을 블록으로 배치하고, bloom 필터와 인덱스를 생성한 다음 모두 백엔드로 플러시합니다.
    • 쿼리 프런트엔드 – 쿼리 프런트엔드는 들어오는 쿼리에 대한 검색 공간을 분할하고 쿼리를 쿼리어에 전송합니다. 쿼리 프런트 엔드 배포는 Tempo 쿼리 사이드카를 통해 Jaeger UI를 노출합니다.
    • Querier - Querier는 Ingesters 또는 백엔드 스토리지에서 요청된 추적 ID를 찾을 책임이 있습니다. 매개변수에 따라 Ingesters를 쿼리하고 백엔드에서 오브젝트 스토리지의 검색 블록으로 Ingesters를 가져올 수 있습니다.
    • 압축기 – 압축기는 백엔드 스토리지와 블록을 스트리밍하여 총 블록 수를 줄입니다.

  • OpenTelemetry의 Red Hat 빌드 - 이 구성 요소는 오픈 소스 OpenTelemetry 프로젝트를 기반으로 합니다.

    • OpenTelemetry Collector - OpenTelemetry 수집기는 원격 분석 데이터를 수신, 처리 및 내보내는 벤더와 무관한 방법입니다. OpenTelemetry 수집기는 오픈 소스 관찰 기능 데이터 형식(예: Jaeger 및 Prometheus)을 지원하여 하나 이상의 오픈 소스 또는 상용 백엔드로 전송합니다. 수집기는 원격 분석 데이터를 내보내는 기본 위치 조정 라이브러리입니다.

3장. 분산 추적 플랫폼 설치
링크 복사

분산 추적 플랫폼을 설치하는 단계는 다음과 같습니다.

  1. Tempo Operator 설치합니다.
  2. 지원되는 개체 저장소를 설정하고 개체 저장소 자격 증명에 대한 비밀을 생성합니다.
  3. 권한 및 테넌트 구성.

  4. 사용 사례에 따라 배포를 선택하여 설치합니다.

    • 마이크로서비스 모드 TempoStack 인스턴스
    • 모놀리식 모드 TempoMonolithic 인스턴스

3.1. Tempo Operator 설치
링크 복사

웹 콘솔이나 명령줄을 사용하여 Tempo Operator를 설치할 수 있습니다.

3.1.1. 웹 콘솔을 사용하여 Tempo Operator 설치
링크 복사

웹 콘솔의 관리자 보기에서 Tempo Operator를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.

  • 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage , Google Cloud Storage) 를 통해 필요한 개체 스토리지를 설정하는 작업을 완료했습니다. 자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    주의

    개체 스토리지는 필수이지만 분산 추적 플랫폼에 포함되어 있지 않습니다. Distributed Tracing Platform을 설치하기 전에 지원되는 공급자의 개체 스토리지를 선택하고 설정해야 합니다.

프로세스

  1. OperatorsOperatorHub 로 이동하여 Tempo Operator 를 검색합니다.

  2. Red Hat에서 제공하는 Tempo Operator를 선택하세요.

    중요

    다음 선택 사항은 이 연산자에 대한 기본 사전 설정입니다.

    • 업데이트 채널stable
    • 설치 모드클러스터의 모든 네임스페이스
    • 설치된 네임스페이스openshift-tempo-operator
    • 업데이트 승인자동
  3. 이 네임스페이스에서 운영자가 권장하는 클러스터 모니터링을 활성화하는 옵션을 선택합니다.
  4. 설치 → 설치 Operator 보기를 선택합니다.

검증

  • 설치된 Operator 페이지의 세부 정보 탭에서 ClusterServiceVersion 세부 정보에서 설치 상태Succeeded인지 확인합니다.

3.1.2. CLI를 사용하여 Tempo Operator 설치
링크 복사

명령줄에서 Tempo Operator를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 클러스터 관리자가 활성 OpenShift CLI(oc) 세션입니다.

    작은 정보
    • OpenShift CLI(oc) 버전이 최신 버전인지 확인하고 OpenShift Container Platform 버전과 일치하는지 확인합니다.

    • oc login 을 실행합니다. 

      $ oc login --username=<your_username>
      Copy to Clipboard Toggle word wrap

  • 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage , Google Cloud Storage) 를 통해 필요한 개체 스토리지를 설정하는 작업을 완료했습니다. 자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    주의

    개체 스토리지는 필수이지만 분산 추적 플랫폼에 포함되어 있지 않습니다. Distributed Tracing Platform을 설치하기 전에 지원되는 공급자의 개체 스토리지를 선택하고 설정해야 합니다.

프로세스

  1. 다음 명령을 실행하여 Tempo Operator에 대한 프로젝트를 생성합니다. 

    $ oc apply -f - << EOF
apiVersion: project.openshift.io/v1
kind: Project
metadata:
  labels:
    kubernetes.io/metadata.name: openshift-tempo-operator
    openshift.io/cluster-monitoring: "true"
  name: openshift-tempo-operator
EOF
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 운영자 그룹을 만듭니다. 

    $ oc apply -f - << EOF
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: openshift-tempo-operator
  namespace: openshift-tempo-operator
spec:
  upgradeStrategy: Default
EOF
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 서브스크립션을 생성합니다. 

    $ oc apply -f - << EOF
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: tempo-product
  namespace: openshift-tempo-operator
spec:
  channel: stable
  installPlanApproval: Automatic
  name: tempo-product
  source: redhat-operators
  sourceNamespace: openshift-marketplace
EOF
    Copy to Clipboard Toggle word wrap

검증

  • 다음 명령을 실행하여 운영자 상태를 확인하세요. 

    $ oc get csv -n openshift-tempo-operator
    Copy to Clipboard Toggle word wrap

3.2. 개체 스토리지 설정
링크 복사

지원되는 개체 스토리지를 설정할 때 다음 구성 매개변수를 사용할 수 있습니다.

중요

개체 저장소를 사용하려면 지원되는 개체 저장소를 설정하고 TempoStack 또는 TempoMonolithic 인스턴스를 배포하기 전에 개체 저장소 자격 증명에 대한 비밀을 생성해야 합니다.

Expand
표 3.1. 필수 시크릿 매개변수
스토리지 공급자

시크릿 매개변수

Red Hat OpenShift 데이터 파운데이션

name: tempostack-dev-odf # example

bucket: <bucket_name> # requires an ObjectBucketClaim

endpoint: https://s3.openshift-storage.svc

access_key_id: <data_foundation_access_key_id>

access_key_secret: <data_foundation_access_key_secret>

MinIO

MinIO Operator 를 참조하십시오.

name: tempostack-dev-minio # example

bucket: <minio_bucket_name> # MinIO documentation

endpoint: <minio_bucket_endpoint>

access_key_id: <minio_access_key_id>

access_key_secret: <minio_access_key_secret>

Amazon S3

name: tempostack-dev-s3 # example

bucket: <s3_bucket_name> # Amazon S3 documentation

endpoint: <s3_bucket_endpoint>

access_key_id: <s3_access_key_id>

access_key_secret: <s3_access_key_secret>

보안 토큰 서비스(STS)가 포함된 Amazon S3

name: tempostack-dev-s3 # example

bucket: <s3_bucket_name> # Amazon S3 documentation

region: <s3_region>

role_arn: <s3_role_arn>

Microsoft Azure Blob Storage

name: tempostack-dev-azure # example

container: <azure_blob_storage_container_name> # Microsoft Azure documentation

account_name: <azure_blob_storage_account_name>

account_key: <azure_blob_storage_account_key>

Google Cloud의 Google Cloud Storage

name: tempostack-dev-gcs # example

bucketname: <google_cloud_storage_bucket_name> # Google Cloud 프로젝트 에서 생성된 버킷이 필요합니다.

key.json: <path/to/key.json> # requires a service account in the bucket’s GCP project for GCP authentication

3.2.1. 보안 토큰 서비스를 사용하여 Amazon S3 스토리지 설정
링크 복사

보안 토큰 서비스(STS)와 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 Amazon S3 스토리지를 설정할 수 있습니다. 선택적으로 CCO(Cloud Credential Operator)를 사용할 수도 있습니다.

중요

Amazon S3 스토리지 및 STS와 함께 분산 추적 플랫폼을 사용하는 것은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

사전 요구 사항

  • AWS CLI의 최신 버전을 설치했습니다.
  • CCO를 사용하려면 클러스터에 CCO를 설치하고 구성해야 합니다.

프로세스

  1. AWS S3 버킷을 생성합니다.

  2. 다음 단계에서 생성할 AWS IAM 역할과 TempoStack 또는 TempoMonolithic 인스턴스의 서비스 계정 간에 신뢰 관계(trust relationship)를 설정하기 위해, AWS Identity and Access Management (AWS IAM) 정책용 trust.json 파일을 다음과 같이 생성하십시오.

    trust.json

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Federated": "arn:aws:iam::<aws_account_id>:oidc-provider/<oidc_provider>"
    1 
    
        },
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {
          "StringEquals": {
            "<oidc_provider>:sub": [
              "system:serviceaccount:<openshift_project_for_tempo>:tempo-<tempo_custom_resource_name>"
    2 
    
              "system:serviceaccount:<openshift_project_for_tempo>:tempo-<tempo_custom_resource_name>-query-frontend"
           ]
         }
       }
     }
    ]
}
    Copy to Clipboard Toggle word wrap

    1
    OpenShift Container Platform에서 구성한 OpenID Connect(OIDC) 공급자입니다.
    2
    TempoStack 또는 TempoMonolithic 인스턴스를 생성하려는 네임스페이스입니다. <tempo_custom_resource_name>TempoStack 또는 TempoMonolithic 사용자 정의 리소스에 정의한 metadata 이름으로 바꿉니다.
    작은 정보

    다음 명령을 실행하여 OIDC 공급자의 값을 얻을 수도 있습니다. 

    $ oc get authentication cluster -o json | jq -r '.spec.serviceAccountIssuer' | sed 's~http[s]*://~~g'
    Copy to Clipboard Toggle word wrap

  3. 생성된 trust.json 정책 파일을 첨부하여 AWS IAM 역할을 생성합니다. 다음 명령을 실행하면 됩니다. 

    $ aws iam create-role \
      --role-name "tempo-s3-access" \
      --assume-role-policy-document "file:///tmp/trust.json" \
      --query Role.Arn \
      --output text
    Copy to Clipboard Toggle word wrap

  4. 생성된 AWS IAM 역할에 AWS IAM 정책을 연결합니다. 다음 명령을 실행하면 됩니다. 

    $ aws iam attach-role-policy \
      --role-name "tempo-s3-access" \
      --policy-arn "arn:aws:iam::aws:policy/AmazonS3FullAccess"
    Copy to Clipboard Toggle word wrap

  5. CCO를 사용하지 않는 경우 이 단계를 건너뛰세요. CCO를 사용하는 경우 Tempo Operator에 대한 클라우드 공급자 환경을 구성하세요. 다음 명령을 실행하면 됩니다. 

    $ oc patch subscription <tempo_operator_sub> \
    1 
    
          -n <tempo_operator_namespace> \
    2 
    
          --type='merge' -p '{"spec": {"config": {"env": [{"name": "ROLEARN", "value": "'"<role_arn>"'"}]}}}'
    3
    Copy to Clipboard Toggle word wrap
    1
    Tempo Operator 서브스크립션의 이름입니다.
    2
    Tempo Operator의 네임스페이스입니다.
    3
    AWS STS에서는 Tempo Operator 서브스크립션에 ROLEARN 환경 변수를 추가해야 합니다. <role_arn> 값으로 3단계에서 생성한 AWS IAM 역할의 Amazon 리소스 이름(ARN)을 추가합니다.

  6. OpenShift 컨테이너 플랫폼에서 다음과 같이 키를 사용하여 개체 저장소 비밀을 만듭니다. 

    apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
stringData:
  bucket: <s3_bucket_name>
  region: <s3_region>
  role_arn: <s3_role_arn>
type: Opaque
    Copy to Clipboard Toggle word wrap

  7. 개체 저장소 시크릿이 생성되면 다음과 같이 Distributed Tracing Platform 인스턴스의 관련 사용자 지정 리소스를 업데이트합니다.

    TempoStack 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    secret:
    1 
    
      name: <secret_name>
      type: s3
      credentialMode: token-cco
    2 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.
    2
    CCO를 사용하지 않는 경우 이 줄을 생략하세요. CCO를 사용하는 경우 token-cco 값과 함께 이 매개변수를 추가하세요.

    TempoMonolithic 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoMonolithic
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    traces:
      backend: s3
      s3:
        secret: <secret_name>
    1 
    
        credentialMode: token-cco
    2 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.
    2
    CCO를 사용하지 않는 경우 이 줄을 생략하세요. CCO를 사용하는 경우 token-cco 값과 함께 이 매개변수를 추가하세요.

3.2.2. 보안 토큰 서비스를 사용하여 Azure 저장소 설정
링크 복사

Azure 명령줄 인터페이스(Azure CLI)를 사용하여 보안 토큰 서비스(STS)로 Azure 저장소를 설정할 수 있습니다.

중요

Azure 저장소 및 STS와 함께 분산 추적 플랫폼을 사용하는 것은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

사전 요구 사항

  • Azure CLI의 최신 버전을 설치했습니다.
  • Azure 스토리지 계정을 만들었습니다.
  • Azure Blob 스토리지 컨테이너를 만들었습니다.

프로세스

  1. 다음 명령을 실행하여 Azure 관리 ID를 만듭니다. 

    $ az identity create \
  --name <identity_name> \
    1 
    
  --resource-group <resource_group> \
    2 
    
  --location <region> \
    3 
    
  --subscription <subscription_id>
    4
    Copy to Clipboard Toggle word wrap
    1
    관리되는 ID에 대해 선택한 이름입니다.
    2
    ID를 만들려는 Azure 리소스 그룹입니다.
    3
    Azure 지역은 리소스 그룹과 동일한 지역이어야 합니다.
    4
    Azure 서브스크립션 ID입니다.

  2. Query Frontend를 제외한 Distributed Tracing Platform의 모든 컴포넌트에서 사용할 수 있도록, OpenShift Container Platform 서비스 계정에 대한 페더레이션 ID 자격 증명을 생성하십시오. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ az identity federated-credential create \
    1 
    
  --name <credential_name> \
    2 
    
  --identity-name <identity_name> \
  --resource-group <resource_group> \
  --issuer <oidc_provider> \
    3 
    
  --subject <tempo_service_account_subject> \
    4 
    
  --audiences <audience>
    5
    Copy to Clipboard Toggle word wrap
    1
    페더레이션 ID 자격 증명을 사용하면 OpenShift Container Platform 서비스 계정에서 시크릿을 저장하거나 Azure 서비스 주체 ID를 사용하지 않고도 Azure 관리 ID로 인증할 수 있습니다.
    2
    페더레이션 자격 증명에 대해 선택한 이름입니다.
    3
    클러스터에 대한 OpenID Connect(OIDC) 공급자의 URL입니다.
    4
    다음 형식을 따르는 클러스터의 서비스 계정 주체: system:serviceaccount:<namespace>:tempo-<tempostack_instance_name> .
    5
    페더레이션 ID 자격 증명을 위해 발급된 토큰의 유효성을 검사하는 데 사용될 예상 대상입니다. 일반적으로 이는 api://AzureADTokenExchange 로 설정됩니다.
    작은 정보

    다음 명령을 실행하면 클러스터의 OpenID Connect(OIDC) 발급자의 URL을 얻을 수 있습니다. 

    $ oc get authentication cluster -o json | jq -r .spec.serviceAccountIssuer
    Copy to Clipboard Toggle word wrap

  3. Distributed Tracing Platform의 Query Frontend 구성 요소에서 사용할 OpenShift Container Platform 서비스 계정에 대한 페더레이션 ID 자격 증명을 만듭니다. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ az identity federated-credential create \
    1 
    
  --name <credential_name>-frontend \
    2 
    
  --identity-name <identity_name> \
  --resource-group <resource_group> \
  --issuer <cluster_issuer> \
  --subject <tempo_service_account_query_frontend_subject> \
    3 
    
  --audiences <audience> | jq
    Copy to Clipboard Toggle word wrap
    1
    페더레이션 ID 자격 증명을 사용하면 OpenShift Container Platform 서비스 계정에서 시크릿을 저장하거나 Azure 서비스 주체 ID를 사용하지 않고도 Azure 관리 ID로 인증할 수 있습니다.
    2
    프런트엔드 페더레이션 ID 자격 증명에 대해 선택한 이름입니다.
    3
    다음 형식을 따르는 클러스터의 서비스 계정 주체: system:serviceaccount:<namespace>:tempo-<tempostack_instance_name> .

  4. 생성된 Azure 관리 ID의 Azure 서비스 주체 ID에 Storage Blob Data Contributor 역할을 할당합니다. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ az role assignment create \
  --assignee <assignee_name> \
    1 
    
  --role "Storage Blob Data Contributor" \
  --scope "/subscriptions/<subscription_id>
    Copy to Clipboard Toggle word wrap
    1
    1단계에서 만든 Azure 관리 ID의 Azure 서비스 주체 ID입니다.
    작은 정보

    다음 명령을 실행하면 <assignee_name> 값을 얻을 수 있습니다. 

    $ az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'" | jq -r --arg idName <identity_name> '.[] | select(.displayName == $idName) | .appId'`
    Copy to Clipboard Toggle word wrap

  5. 1단계에서 만든 Azure 관리 ID의 클라이언트 ID를 가져옵니다. 

    CLIENT_ID=$(az identity show \
  --name <identity_name> \
    1 
    
  --resource-group <resource_group> \
    2 
    
  --query clientId \
  -o tsv)
    Copy to Clipboard Toggle word wrap
    1
    1단계의 <identity_name> 값을 복사하여 붙여넣습니다.
    2
    1단계의 <resource_group> 값을 복사하여 붙여넣습니다.

  6. Azure 워크로드 ID 페더레이션(WIF)에 대한 OpenShift Container Platform 시크릿을 만듭니다. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ oc create -n <tempo_namespace> secret generic azure-secret \
  --from-literal=container=<azure_storage_azure_container> \
    1 
    
  --from-literal=account_name=<azure_storage_azure_accountname> \
    2 
    
  --from-literal=client_id=<client_id> \
    3 
    
  --from-literal=audience=<audience> \
    4 
    
  --from-literal=tenant_id=<tenant_id>
    5
    Copy to Clipboard Toggle word wrap
    1
    Azure Blob Storage 컨테이너의 이름입니다.
    2
    Azure Storage 계정의 이름입니다.
    3
    이전 단계에서 가져온 관리 ID의 클라이언트 ID입니다.
    4
    선택 사항: 기본값은 api://AzureADTokenExchange 입니다.
    5
    Azure Tenant ID.

  7. 개체 저장소 시크릿이 생성되면 다음과 같이 Distributed Tracing Platform 인스턴스의 관련 사용자 지정 리소스를 업데이트합니다.

    TempoStack 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    secret:
    1 
    
      name: <secret_name>
      type: azure
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.

    TempoMonolithic 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoMonolithic
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    traces:
      backend: azure
      azure:
        secret: <secret_name>
    1 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.

3.2.3. 보안 토큰 서비스를 사용하여 Google Cloud 스토리지 설정
링크 복사

Google Cloud CLI를 사용하여 보안 토큰 서비스(STS)로 Google Cloud Storage(GCS)를 설정할 수 있습니다.

중요

GCS 및 STS와 함께 분산 추적 플랫폼을 사용하는 것은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

사전 요구 사항

  • Google Cloud CLI의 최신 버전을 설치했습니다.

프로세스

  1. Google Cloud에서 GCS 버킷을 만듭니다.

  2. Google의 Identity and Access Management(IAM)를 사용하여 서비스 계정을 만들거나 재사용하세요. 

    SERVICE_ACCOUNT_EMAIL=$(gcloud iam service-accounts create <iam_service_account_name> \
    1 
    
    --display-name="Tempo Account" \
    --project <project_id>  \
    2 
    
    --format='value(email)' \
    --quiet)
    Copy to Clipboard Toggle word wrap
    1
    Google Cloud의 서비스 계정 이름입니다.
    2
    Google Cloud의 서비스 계정의 프로젝트 ID입니다.

  3. 프로젝트 수준에서 생성된 서비스 계정에 필요한 Google Cloud 역할을 바인딩합니다. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ gcloud projects add-iam-policy-binding <project_id> \
    --member "serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
    --role "roles/storage.objectAdmin"
    Copy to Clipboard Toggle word wrap

  4. 클러스터와 연결된 Google Cloud Workload Identity Pool의 POOL_ID 값을 검색합니다. 이 값을 검색하는 방법은 환경에 따라 다르므로 다음 명령은 단지 예시일 뿐입니다. 

    $ OIDC_ISSUER=$(oc get authentication.config cluster -o jsonpath='{.spec.serviceAccountIssuer}') \
&&
  POOL_ID=$(echo "$OIDC_ISSUER" | awk -F'/' '{print $NF}' | sed 's/-oidc$//')
    Copy to Clipboard Toggle word wrap

  5. IAM 정책 바인딩을 추가합니다. 다음 명령을 실행하면 됩니다. 

    $ gcloud iam service-accounts add-iam-policy-binding "$SERVICE_ACCOUNT_EMAIL" \
    1 
    
  --role="roles/iam.workloadIdentityUser" \
  --member="principal://iam.googleapis.com/projects/<project_number>/locations/global/workloadIdentityPools/<pool_id>/subject/system:serviceaccount:<tempo_namespace>:tempo-<tempo_name>" \
  --project=<project_id> \
  --quiet \
&&
  gcloud iam service-accounts add-iam-policy-binding "$SERVICE_ACCOUNT_EMAIL" \
  --role="roles/iam.workloadIdentityUser" \
  --member="principal://iam.googleapis.com/projects/<project_number>/locations/global/workloadIdentityPools/<pool_id>/subject/system:serviceaccount:<tempo_namespace>:tempo-<tempo_name>-query-frontend" \
  --project=<project_id> \
  --quiet
&&
  gcloud storage buckets add-iam-policy-binding "gs://$BUCKET_NAME" \
  --role="roles/storage.admin" \
  --member="serviceAccount:$SERVICE_ACCOUNT_EMAIL" \
  --condition=None
    Copy to Clipboard Toggle word wrap
    1
    $SERVICE_ACCOUNT_EMAIL 은 2단계의 명령 출력입니다.

  6. TempoStack 사용자 정의 리소스에서 사용할 스토리지 시크릿의 key.json 키에 대한 자격 증명 파일을 만듭니다. 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ gcloud iam workload-identity-pools create-cred-config \
    "projects/<project_number>/locations/global/workloadIdentityPools/<pool_id>/providers/<provider_id>" \
    --service-account="$SERVICE_ACCOUNT_EMAIL" \
    --credential-source-file=/var/run/secrets/storage/serviceaccount/token \
    1 
    
    --credential-source-type=text \
    --output-file=<output_file_path>
    2
    Copy to Clipboard Toggle word wrap
    1
    credential-source-file 매개변수는 항상 /var/run/secrets/storage/serviceaccount/token 경로를 가리켜야 합니다. Operator가 이 경로에서 토큰을 마운트하기 때문입니다.
    2
    출력 파일을 저장하는 경로입니다.

  7. 다음 명령을 실행하여 올바른 대상 고객을 확보하세요. 

    $ gcloud iam workload-identity-pools providers describe "$PROVIDER_NAME" --format='value(oidc.allowedAudiences[0])'
    Copy to Clipboard Toggle word wrap

  8. 다음 명령을 실행하여 분산 추적 플랫폼에 대한 저장소 시크릿을 만듭니다. 

    $ oc -n <tempo_namespace> create secret generic gcs-secret \
  --from-literal=bucketname="<bucket_name>" \
    1 
    
  --from-literal=audience="<audience>" \
    2 
    
  --from-file=key.json=<output_file_path>
    3
    Copy to Clipboard Toggle word wrap
    1
    Google Cloud Storage의 버킷 이름입니다.
    2
    이전 단계에서 얻은 audience 값입니다.
    3
    6단계에서 생성한 자격 증명 파일입니다.

  9. 개체 저장소 시크릿이 생성되면 다음과 같이 Distributed Tracing Platform 인스턴스의 관련 사용자 지정 리소스를 업데이트합니다.

    TempoStack 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    secret:
    1 
    
      name: <secret_name>
      type: gcs
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.

    TempoMonolithic 사용자 정의 리소스 예시

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoMonolithic
metadata:
  name: <name>
  namespace: <namespace>
spec:
# ...
  storage:
    traces:
      backend: gcs
      gcs:
        secret: <secret_name>
    1 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 시크릿입니다.

3.2.4. IBM Cloud Object Storage 설정
링크 복사

OpenShift CLI( oc )를 사용하여 IBM Cloud Object Storage를 설정할 수 있습니다.

사전 요구 사항

  • OpenShift CLI( oc )의 최신 버전을 설치했습니다. 자세한 내용은 Configure: CLI 도구 의 "OpenShift CLI 시작하기"를 참조하세요.
  • IBM Cloud Command Line Interface( ibmcloud )의 최신 버전을 설치했습니다. 자세한 내용은 IBM Cloud Docs 의 "IBM Cloud CLI 시작하기"를 참조하세요.

  • IBM Cloud Object Storage를 구성했습니다. 자세한 내용은 IBM Cloud Docs 에서 "플랜 선택 및 인스턴스 생성"을 참조하세요.

    • IBM Cloud Platform 계정이 있습니다.
    • IBM Cloud Object Storage 플랜을 주문하셨습니다.
    • IBM Cloud Object Storage 인스턴스를 생성했습니다.

프로세스

  1. IBM Cloud에서 오브젝트 저장소 버킷을 생성합니다.

  2. IBM Cloud에서 다음 명령을 실행하여 객체 저장소 버킷에 연결하기 위한 서비스 키를 만듭니다. 

    $ ibmcloud resource service-key-create <tempo_bucket> Writer \
  --instance-name <tempo_bucket> --parameters '{"HMAC":true}'
    Copy to Clipboard Toggle word wrap

  3. IBM Cloud에서 다음 명령을 실행하여 버킷 자격 증명으로 비밀을 만듭니다. 

    $ oc -n <namespace> create secret generic <ibm_cos_secret> \
  --from-literal=bucket="<tempo_bucket>" \
  --from-literal=endpoint="<ibm_bucket_endpoint>" \
  --from-literal=access_key_id="<ibm_bucket_access_key>" \
  --from-literal=access_key_secret="<ibm_bucket_secret_key>"
    Copy to Clipboard Toggle word wrap

  4. OpenShift Container Platform에서 다음과 같이 키를 사용하여 개체 저장소 비밀을 만듭니다. 

    apiVersion: v1
kind: Secret
metadata:
  name: <ibm_cos_secret>
stringData:
  bucket: <tempo_bucket>
  endpoint: <ibm_bucket_endpoint>
  access_key_id: <ibm_bucket_access_key>
  access_key_secret: <ibm_bucket_secret_key>
type: Opaque
    Copy to Clipboard Toggle word wrap

  5. OpenShift Container Platform에서 TempoStack 사용자 정의 리소스의 스토리지 섹션을 다음과 같이 설정합니다. 

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
# ...
spec:
# ...
  storage:
    secret:
      name: <ibm_cos_secret>
    1 
    
      type: s3
# ...
    Copy to Clipboard Toggle word wrap
    1
    IBM Cloud Storage 액세스 및 비밀 키가 포함된 비밀의 이름입니다.

3.3. 권한 및 테넌트 구성
링크 복사

TempoStack 또는 TempoMonolithic 인스턴스를 설치하기 전에 하나 이상의 테넌트를 정의하고 읽기 및 쓰기 액세스를 구성해야 합니다. Kubernetes 역할 기반 액세스 제어(RBAC)에 대한 클러스터 역할 및 클러스터 역할 바인딩을 사용하여 이러한 권한 부여 설정을 구성할 수 있습니다. 기본적으로 사용자에게는 읽기 또는 쓰기 권한이 부여되지 않습니다. 자세한 내용은 "테넌트에 대한 읽기 권한 구성" 및 "테넌트에 대한 쓰기 권한 구성"을 참조하세요.

참고

Red Hat 빌드의 OpenTelemetry Collector는 RBAC를 사용하여 데이터를 쓰는 서비스 계정을 사용하여 TempoStack 또는 TempoMonolithic 인스턴스에 추적 데이터를 보낼 수 있습니다.

Expand
표 3.2. 인증 및 권한 부여
ComponentTempo Gateway 서비스OpenShift OAuth토큰리뷰 APISubjectAccessReview API

인증

X

X

X

 

권한 부여

X

  

X

3.3.1. 테넌트에 대한 읽기 권한 구성
링크 복사

웹 콘솔의 관리자 보기나 명령줄에서 테넌트의 읽기 권한을 구성할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.

프로세스

  1. TempoStack 사용자 정의 리소스(CR)에 원하는 값과 함께 tenantNametenantId 매개변수를 추가하여 테넌트를 정의합니다.

    TempoStack CR의 테넌트 예

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: redmetrics
spec:
# ...
  tenants:
    mode: openshift
    authentication:
      - tenantName: dev
    1 
    
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
    2 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    사용자가 선택한 tenantName 값입니다.
    2
    사용자가 선택한 tenantId 값입니다.

  2. 추적을 읽을 수 있는 읽기( get ) 권한이 있는 클러스터 역할에 테넌트를 추가합니다.

    ClusterRole 리소스의 RBAC 구성 예

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: tempostack-traces-reader
rules:
  - apiGroups:
      - 'tempo.grafana.com'
    resources:
    1 
    
      - dev
      - prod
    resourceNames:
      - traces
    verbs:
      - 'get'
    2
    Copy to Clipboard Toggle word wrap

    1
    이 예제에서는 이전 단계에서 tenantName 매개변수를 사용하여 정의된 테넌트( devprod) 를 나열합니다.
    2
    나열된 테넌트에 대한 읽기 작업을 활성화합니다.

  3. 이전 단계의 클러스터 역할에 대한 클러스터 역할 바인딩을 정의하여 인증된 사용자에게 추적 데이터에 대한 읽기 권한을 부여합니다.

    ClusterRoleBinding 리소스의 RBAC 구성 예

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tempostack-traces-reader
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: tempostack-traces-reader
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
    1
    Copy to Clipboard Toggle word wrap

    1
    인증된 모든 사용자에게 추적 데이터에 대한 읽기 권한을 부여합니다.

3.3.2. 테넌트에 대한 쓰기 권한 구성
링크 복사

웹 콘솔의 관리자 보기나 명령줄에서 테넌트의 쓰기 권한을 구성할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.
  • OpenTelemetry Collector를 설치하고 권한이 있는 서비스 계정을 사용하도록 구성했습니다. 자세한 내용은 OpenTelemetry Red Hat 빌드 문서에서 "필요한 RBAC 리소스를 자동으로 생성하기"를 참조하세요.

프로세스

  1. OpenTelemetry Collector와 함께 사용할 서비스 계정을 만듭니다. 

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: otel-collector
  namespace: <project_of_opentelemetry_collector_instance>
    Copy to Clipboard Toggle word wrap

  2. 추적을 작성하기 위한 쓰기( 생성 ) 권한이 있는 클러스터 역할에 테넌트를 추가합니다.

    ClusterRole 리소스의 RBAC 구성 예

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: tempostack-traces-write
rules:
  - apiGroups:
      - 'tempo.grafana.com'
    resources:
    1 
    
      - dev
    resourceNames:
      - traces
    verbs:
      - 'create'
    2
    Copy to Clipboard Toggle word wrap

    1
    세입자를 나열합니다.
    2
    쓰기 작업을 활성화합니다.

  3. 클러스터 역할 바인딩을 정의하여 OpenTelemetry Collector 서비스 계정을 연결하여 OpenTelemetry Collector에 쓰기 권한을 부여합니다.

    ClusterRoleBinding 리소스의 RBAC 구성 예

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tempostack-traces
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: tempostack-traces-write
subjects:
  - kind: ServiceAccount
    name: otel-collector
    1 
    
    namespace: otel
    Copy to Clipboard Toggle word wrap

    1
    이전 단계에서 만든 서비스 계정입니다. 클라이언트는 추적 데이터를 내보낼 때 사용합니다.

  4. 다음과 같이 OpenTelemetryCollector 사용자 지정 리소스를 구성합니다.

    • 추적 파이프라인 서비스에 bearertokenauth 확장 기능과 유효한 토큰을 추가합니다.
    • otlp/otlphttp 내보내기 프로그램에 테넌트 이름을 X-Scope-OrgID 헤더로 추가합니다.

    • 유효한 인증 기관 파일로 TLS를 활성화합니다.

      샘플 OpenTelemetry CR 구성

      apiVersion: opentelemetry.io/v1beta1
kind: OpenTelemetryCollector
metadata:
  name: cluster-collector
  namespace: <project_of_tempostack_instance>
spec:
  mode: deployment
  serviceAccount: otel-collector
      1 
      
  config: |
      extensions:
        bearertokenauth:
      2 
      
          filename: "/var/run/secrets/kubernetes.io/serviceaccount/token"
      3 
      
      exporters:
        otlp/dev:
      4 
      
          endpoint: sample-gateway.tempo.svc.cluster.local:8090
          tls:
            insecure: false
            ca_file: "/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt"
      5 
      
          auth:
            authenticator: bearertokenauth
          headers:
            X-Scope-OrgID: "dev"
      6 
      
        otlphttp/dev:
      7 
      
          endpoint: https://sample-gateway.<project_of_tempostack_instance>.svc.cluster.local:8080/api/traces/v1/dev
          tls:
            insecure: false
            ca_file: "/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt"
          auth:
            authenticator: bearertokenauth
          headers:
            X-Scope-OrgID: "dev"
      service:
        extensions: [bearertokenauth]
        pipelines:
          traces:
            exporters: [otlp/dev]
      8 
      

# ...
      Copy to Clipboard Toggle word wrap

      1
      쓰기 권한이 구성된 서비스 계정입니다.
      2
      서비스 계정 토큰을 사용하기 위한 Bearer Token 확장입니다.
      3
      서비스 계정 토큰. 클라이언트는 토큰을 베어러 토큰 헤더로 추적 파이프라인 서비스에 전송합니다.
      4
      OTLP gRPC Exporter( otlp/dev ) 또는 OTLP HTTP Exporter( otlphttp/dev )를 지정하세요.
      5
      유효한 서비스 CA 파일로 TLS가 활성화되었습니다.
      6
      세입자 이름이 있는 헤더입니다.
      7
      OTLP gRPC Exporter( otlp/dev ) 또는 OTLP HTTP Exporter( otlphttp/dev )를 지정하세요.
      8
      CR의 수출자 섹션에 지정한 수출자입니다.

3.4. TempoStack 인스턴스 설치
링크 복사

웹 콘솔이나 명령줄을 사용하여 TempoStack 인스턴스를 설치할 수 있습니다.

3.4.1. 웹 콘솔을 사용하여 TempoStack 인스턴스 설치
링크 복사

웹 콘솔의 관리자 보기에서 TempoStack 인스턴스를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.

  • 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage , Google Cloud Storage) 를 통해 필요한 개체 스토리지를 설정하는 작업을 완료했습니다. 자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    주의

    개체 스토리지는 필수이지만 분산 추적 플랫폼에 포함되어 있지 않습니다. Distributed Tracing Platform을 설치하기 전에 지원되는 공급자의 개체 스토리지를 선택하고 설정해야 합니다.

  • 하나 이상의 테넌트를 정의하고 읽기 및 쓰기 권한을 구성했습니다. 자세한 내용은 "테넌트에 대한 읽기 권한 구성" 및 "테넌트에 대한 쓰기 권한 구성"을 참조하세요.

프로세스

  1. 프로젝트프로젝트 만들기 로 이동하여 이후 단계에서 만들 TempoStack 인스턴스에 대해 허용된 프로젝트를 만듭니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.

  2. TempoStack 인스턴스에 대해 생성한 프로젝트의 개체 스토리지 버킷에 대한 비밀을 생성하려면 워크로드비밀생성YAML 로 이동합니다. 자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    Amazon S3 및 MinIO 스토리지의 시크릿 예

    apiVersion: v1
kind: Secret
metadata:
  name: minio-test
stringData:
  endpoint: http://minio.minio.svc:9000
  bucket: tempo
  access_key_id: tempo
  access_key_secret: <secret>
type: Opaque
    Copy to Clipboard Toggle word wrap

  3. TempoStack 인스턴스를 생성합니다.

    참고

    동일한 클러스터의 별도 프로젝트에서 여러 개의 TempoStack 인스턴스를 만들 수 있습니다.

    1. Operator설치된 Operator 로 이동합니다.
    2. TempoStackTempoStackYAML 보기를 선택합니다.

    3. YAML 보기에서 TempoStack 사용자 정의 리소스(CR)를 사용자 지정합니다.

      AWS S3 및 MinIO 스토리지와 두 개의 테넌트에 대한 TempoStack CR 예시

      apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
      1 
      
metadata:
  name: simplest
  namespace: <permitted_project_of_tempostack_instance>
      2 
      
spec:
      3 
      
  storage:
      4 
      
    secret:
      5 
      
      name: <secret_name>
      6 
      
      type: <secret_provider>
      7 
      
  storageSize: <value>Gi
      8 
      
  resources:
      9 
      
    total:
      limits:
        memory: 2Gi
        cpu: 2000m
  tenants:
    mode: openshift
      10 
      
    authentication:
      11 
      
      - tenantName: dev
      12 
      
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
      13 
      
      - tenantName: prod
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfb"
  template:
    gateway:
      enabled: true
      14 
      
    queryFrontend:
      jaegerQuery:
        enabled: true
      15
      Copy to Clipboard Toggle word wrap

      1
      이 CR은 HTTP 및 OTLP(OpenTelemetry Protocol)를 통해 Jaeger Thrift를 수신하도록 구성된 TempoStack 배포를 생성합니다.
      2
      TempoStack 배포를 위해 선택한 프로젝트입니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.
      3
      Red Hat은 Red Hat OpenShift Distributed Tracing Platform 문서에서 제공되는 사용자 정의 리소스 옵션만 지원합니다.
      4
      추적을 저장하기 위한 저장소를 지정합니다.
      5
      2단계에서 필수 구성 요소 중 하나로 설정된 개체 저장소에 대해 만든 비밀입니다.
      6
      비밀의 메타데이터 섹션에 있는 이름 필드의 값입니다. 예를 들어: minio .
      7
      허용되는 값은 Azure Blob Storage의 경우 azure , Google Cloud Storage의 경우 gcs , Amazon S3, MinIO 또는 Red Hat OpenShift Data Foundation의 경우 s3입니다 . 예를 들어: s3 .
      8
      Tempo Write-Ahead Logging(WAL)에 대한 영구 볼륨 클레임의 크기입니다. 기본값은 10Gi 입니다. 예를 들어: 1Gi .
      9
      선택 사항입니다.
      10
      값은 openshift 여야 합니다.
      11
      세입자 목록.
      12
      X-Scope-OrgId HTTP 헤더의 값으로 사용되는 테넌트 이름입니다.
      13
      세입자의 고유 식별자입니다. TempoStack 배포의 라이프사이클 전체에 걸쳐 고유해야 합니다. 분산 추적 플랫폼은 이 ID를 사용하여 개체 저장소의 개체에 접두사를 붙입니다. UUID 또는 tempoName 필드의 값을 재사용할 수 있습니다.
      14
      인증 및 권한 부여를 수행하는 게이트웨이를 활성화합니다.
      15
      http://<gateway_ingress>/api/traces/v1/<tenant_name>/search 의 경로를 통해 데이터를 시각화하는 Jaeger UI를 공개합니다.
    4. 생성을 선택합니다.

검증

  1. 프로젝트: 드롭다운 목록을 사용하여 TempoStack 인스턴스의 프로젝트를 선택합니다.
  2. 운영자설치된 운영자 로 이동하여 TempoStack 인스턴스의 상태가 조건: 준비 인지 확인합니다.
  3. 워크로드Pod 로 이동하여 TempoStack 인스턴스의 모든 구성 요소 Pod가 실행 중인지 확인합니다.

  4. Tempo 콘솔에 액세스합니다.

    1. 네트워킹경로Ctrl+F 로 이동하여 tempo 를 검색합니다.

    2. 위치 열에서 URL을 열어 Tempo 콘솔에 액세스합니다.

      참고

      Tempo 콘솔은 처음에 Tempo 콘솔 설치 후 추적 데이터를 표시하지 않습니다.

3.4.2. CLI를 사용하여 TempoStack 인스턴스 설치
링크 복사

명령줄에서 TempoStack 인스턴스를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 클러스터 관리자가 활성 OpenShift CLI(oc) 세션입니다.

    작은 정보
    • OpenShift CLI(oc) 버전이 최신 버전인지 확인하고 OpenShift Container Platform 버전과 일치하는지 확인합니다.

    • oc login 명령을 실행합니다. 

      $ oc login --username=<your_username>
      Copy to Clipboard Toggle word wrap

  • 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage , Google Cloud Storage) 를 통해 필요한 개체 스토리지를 설정하는 작업을 완료했습니다. 자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    주의

    개체 스토리지는 필수이지만 분산 추적 플랫폼에 포함되어 있지 않습니다. Distributed Tracing Platform을 설치하기 전에 지원되는 공급자의 개체 스토리지를 선택하고 설정해야 합니다.

  • 하나 이상의 테넌트를 정의하고 읽기 및 쓰기 권한을 구성했습니다. 자세한 내용은 "테넌트에 대한 읽기 권한 구성" 및 "테넌트에 대한 쓰기 권한 구성"을 참조하세요.

프로세스

  1. 다음 명령을 실행하여 이후 단계에서 생성할 TempoStack 인스턴스에 대해 허용된 프로젝트를 선택하세요. 

    $ oc apply -f - << EOF
apiVersion: project.openshift.io/v1
kind: Project
metadata:
  name: <permitted_project_of_tempostack_instance>
    1 
    
EOF
    Copy to Clipboard Toggle word wrap
    1
    openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.

  2. TempoStack 인스턴스에 대해 생성한 프로젝트에서 다음 명령을 실행하여 개체 스토리지 버킷에 대한 비밀을 생성합니다. 

    $ oc apply -f - << EOF
<object_storage_secret>
EOF
    Copy to Clipboard Toggle word wrap

    자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    Amazon S3 및 MinIO 스토리지의 시크릿 예

    apiVersion: v1
kind: Secret
metadata:
  name: minio-test
stringData:
  endpoint: http://minio.minio.svc:9000
  bucket: tempo
  access_key_id: tempo
  access_key_secret: <secret>
type: Opaque
    Copy to Clipboard Toggle word wrap

  3. 생성한 프로젝트에서 TempoStack 인스턴스를 생성합니다.

    참고

    동일한 클러스터의 별도 프로젝트에서 여러 개의 TempoStack 인스턴스를 만들 수 있습니다.

    1. TempoStack CR(사용자 정의 리소스)을 사용자 정의합니다.

      AWS S3 및 MinIO 스토리지와 두 개의 테넌트에 대한 TempoStack CR 예시

      apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
      1 
      
metadata:
  name: simplest
  namespace: <permitted_project_of_tempostack_instance>
      2 
      
spec:
      3 
      
  storage:
      4 
      
    secret:
      5 
      
      name: <secret_name>
      6 
      
      type: <secret_provider>
      7 
      
  storageSize: <value>Gi
      8 
      
  resources:
      9 
      
    total:
      limits:
        memory: 2Gi
        cpu: 2000m
  tenants:
    mode: openshift
      10 
      
    authentication:
      11 
      
      - tenantName: dev
      12 
      
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
      13 
      
      - tenantName: prod
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfb"
  template:
    gateway:
      enabled: true
      14 
      
    queryFrontend:
      jaegerQuery:
        enabled: true
      15
      Copy to Clipboard Toggle word wrap

      1
      이 CR은 HTTP 및 OTLP(OpenTelemetry Protocol)를 통해 Jaeger Thrift를 수신하도록 구성된 TempoStack 배포를 생성합니다.
      2
      TempoStack 배포를 위해 선택한 프로젝트입니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.
      3
      Red Hat은 Red Hat OpenShift Distributed Tracing Platform 문서에서 제공되는 사용자 정의 리소스 옵션만 지원합니다.
      4
      추적을 저장하기 위한 저장소를 지정합니다.
      5
      2단계에서 필수 구성 요소 중 하나로 설정된 개체 저장소에 대해 만든 비밀입니다.
      6
      비밀의 메타데이터 섹션에 있는 이름 필드의 값입니다. 예를 들어: minio .
      7
      허용되는 값은 Azure Blob Storage의 경우 azure , Google Cloud Storage의 경우 gcs , Amazon S3, MinIO 또는 Red Hat OpenShift Data Foundation의 경우 s3입니다 . 예를 들어: s3 .
      8
      Tempo Write-Ahead Logging(WAL)에 대한 영구 볼륨 클레임의 크기입니다. 기본값은 10Gi 입니다. 예를 들어: 1Gi .
      9
      선택 사항입니다.
      10
      값은 openshift 여야 합니다.
      11
      세입자 목록.
      12
      X-Scope-OrgId HTTP 헤더의 값으로 사용되는 테넌트 이름입니다.
      13
      세입자의 고유 식별자입니다. TempoStack 배포의 라이프사이클 전체에 걸쳐 고유해야 합니다. 분산 추적 플랫폼은 이 ID를 사용하여 개체 저장소의 개체에 접두사를 붙입니다. UUID 또는 tempoName 필드의 값을 재사용할 수 있습니다.
      14
      인증 및 권한 부여를 수행하는 게이트웨이를 활성화합니다.
      15
      http://<gateway_ingress>/api/traces/v1/<tenant_name>/search 의 경로를 통해 데이터를 시각화하는 Jaeger UI를 공개합니다.

    2. 다음 명령을 실행하여 사용자 지정 CR을 적용합니다. 

      $ oc apply -f - << EOF
<tempostack_cr>
EOF
      Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 모든 TempoStack 구성 요소상태가 실행 중이고 조건이 유형: 준비 인지 확인하세요. 

    $ oc get tempostacks.tempo.grafana.com simplest -o yaml
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 모든 TempoStack 구성 요소 포드가 실행 중인지 확인하세요. 

    $ oc get pods
    Copy to Clipboard Toggle word wrap

  3. Tempo 콘솔에 액세스합니다.

    1. 다음 명령을 실행하여 경로 세부 정보를 쿼리합니다. 

      $ oc get route
      Copy to Clipboard Toggle word wrap

    2. 웹 브라우저에서 https://<route_from_previous_step>을 엽니다.

      참고

      Tempo 콘솔은 처음에 Tempo 콘솔 설치 후 추적 데이터를 표시하지 않습니다.

3.5. TempoMonolithic 인스턴스 설치
링크 복사

중요

TempoMonolithic 인스턴스는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

웹 콘솔이나 명령줄을 사용하여 TempoMonolithic 인스턴스를 설치할 수 있습니다.

TempoMonolithic 사용자 정의 리소스(CR)는 모놀리식 모드에서 Tempo 배포를 생성합니다. 압축기, 배포기, 수집기, 쿼리기, 쿼리 프런트엔드 등 Tempo 배포의 모든 구성 요소는 단일 컨테이너에 포함되어 있습니다.

TempoMonolithic 인스턴스는 메모리 내 스토리지, 영구 볼륨 또는 개체 스토리지에 추적을 저장하는 것을 지원합니다.

소규모 배포, 데모 및 테스트의 경우 모놀리식 모드에서 템포 배포가 더 좋습니다.

참고

Tempo의 모놀리식 배포는 수평적으로 확장되지 않습니다. 수평적 확장이 필요한 경우 마이크로서비스 모드에서 Tempo 배포를 위해 TempoStack CR을 사용하세요.

3.5.1. 웹 콘솔을 사용하여 TempoMonolithic 인스턴스 설치
링크 복사

중요

TempoMonolithic 인스턴스는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

웹 콘솔의 관리자 보기에서 TempoMonolithic 인스턴스를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.
  • 하나 이상의 테넌트를 정의하고 읽기 및 쓰기 권한을 구성했습니다. 자세한 내용은 "테넌트에 대한 읽기 권한 구성" 및 "테넌트에 대한 쓰기 권한 구성"을 참조하세요.

프로세스

  1. 프로젝트프로젝트 만들기 로 이동하여 이후 단계에서 만들 TempoMonolithic 인스턴스에 대해 허용된 프로젝트를 만듭니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.

  2. 추적을 저장하는 데 사용할 지원되는 스토리지 유형을 결정합니다. 메모리 내 스토리지, 영구 볼륨 또는 개체 스토리지입니다.

    중요

    개체 스토리지는 분산 추적 플랫폼에 포함되지 않으며 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage 또는 Google Cloud Storage) 를 통해 개체 저장소를 설정해야 합니다.

    또한, 개체 스토리지를 선택하려면 TempoMonolithic 인스턴스에 대해 생성한 프로젝트에서 개체 스토리지 버킷에 대한 비밀을 생성해야 합니다. 워크로드비밀생성YAML 에서 이 작업을 수행할 수 있습니다.

    자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    Amazon S3 및 MinIO 스토리지의 시크릿 예

    apiVersion: v1
kind: Secret
metadata:
  name: minio-test
stringData:
  endpoint: http://minio.minio.svc:9000
  bucket: tempo
  access_key_id: tempo
  access_key_secret: <secret>
type: Opaque
    Copy to Clipboard Toggle word wrap

  3. TempoMonolithic 인스턴스를 생성합니다.

    참고

    동일한 클러스터의 별도 프로젝트에서 여러 TempoMonolithic 인스턴스를 만들 수 있습니다.

    1. Operator설치된 Operator 로 이동합니다.
    2. TempoMonolithicTempoMonolithic 만들기YAML 보기를 선택합니다.

    3. YAML 보기 에서 TempoMonolithic 사용자 정의 리소스(CR)를 사용자 정의합니다.

      TempoMonolithic CR 예시

      apiVersion: tempo.grafana.com/v1alpha1
kind: TempoMonolithic
      1 
      
metadata:
  name: <metadata_name>
  namespace: <permitted_project_of_tempomonolithic_instance>
      2 
      
spec:
      3 
      
  storage:
      4 
      
    traces:
      backend: <supported_storage_type>
      5 
      
      size: <value>Gi
      6 
      
      s3:
      7 
      
        secret: <secret_name>
      8 
      
    tls:
      9 
      
      enabled: true
      caName: <ca_certificate_configmap_name>
      10 
      
  jaegerui:
    enabled: true
      11 
      
    route:
      enabled: true
      12 
      
  resources:
      13 
      
    total:
      limits:
        memory: <value>Gi
        cpu: <value>m
  multitenancy:
    enabled: true
    mode: openshift
    authentication:
      14 
      
      - tenantName: dev
      15 
      
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
      16 
      
      - tenantName: prod
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfb"
      Copy to Clipboard Toggle word wrap

      1
      이 CR은 OTLP 프로토콜에서 추적 수집 기능을 갖춘 TempoMonolithic 배포를 생성합니다.
      2
      TempoMonolithic 배포를 위해 선택한 프로젝트입니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.
      3
      Red Hat은 Red Hat OpenShift Distributed Tracing Platform 문서에서 제공되는 사용자 정의 리소스 옵션만 지원합니다.
      4
      추적을 저장하기 위한 저장소를 지정합니다.
      5
      추적을 저장하기 위한 스토리지 유형: 메모리 내 스토리지, 영구 볼륨 또는 개체 스토리지. 영구 볼륨의 값은 pv 입니다. 사용된 객체 저장소 유형에 따라 객체 저장소에 허용되는 값은 s3 , gcs 또는 azure 입니다. 기본값은 tmpfs 인메모리 저장소의 메모리 입니다. 이는 포드가 종료되면 데이터가 유지되지 않으므로 개발, 테스트, 데모 및 개념 증명 환경에만 적합합니다.
      6
      메모리 크기: 메모리 내 저장소의 경우 이는 tmpfs 볼륨의 크기를 의미하며 기본값은 2Gi 입니다. 영구 볼륨의 경우 이는 영구 볼륨 클레임의 크기를 의미하며 기본값은 10Gi 입니다. 개체 스토리지의 경우 이는 Tempo Write-Ahead Logging(WAL)에 대한 영구 볼륨 클레임 크기를 의미하며 기본값은 10Gi 입니다.
      7
      선택 사항: 개체 스토리지의 경우 개체 스토리지 유형입니다. 사용된 객체 저장소 유형에 따라 허용되는 값은 s3 , gcsazure 입니다.
      8
      선택 사항: 개체 저장소의 경우 저장소 비밀의 메타데이터 에 있는 이름 값입니다. 저장소 비밀은 TempoMonolithic 인스턴스와 동일한 네임스페이스에 있어야 하며 "표 1"에 지정된 필드를 포함해야 합니다. "오브젝트 스토리지 설정" 섹션의 필수 시크릿 매개변수입니다.
      9
      선택 사항입니다.
      10
      선택 사항: CA 인증서가 포함된 ConfigMap 개체의 이름입니다.
      11
      http://<gateway_ingress>/api/traces/v1/<tenant_name>/search 의 경로를 통해 데이터를 시각화하는 Jaeger UI를 공개합니다.
      12
      Jaeger UI에 대한 경로를 생성할 수 있습니다.
      13
      선택 사항입니다.
      14
      세입자를 나열합니다.
      15
      X-Scope-OrgId HTTP 헤더의 값으로 사용되는 테넌트 이름입니다.
      16
      세입자의 고유 식별자입니다. TempoMonolithic 배포의 라이프사이클 전체에 걸쳐 고유해야 합니다. 이 ID는 개체 저장소의 개체에 접두사로 추가됩니다. UUID 또는 tempoName 필드의 값을 재사용할 수 있습니다.
    4. 생성을 선택합니다.

검증

  1. 프로젝트: 드롭다운 목록을 사용하여 TempoMonolithic 인스턴스의 프로젝트를 선택합니다.
  2. 운영자설치된 운영자 로 이동하여 TempoMonolithic 인스턴스의 상태가 조건: 준비 인지 확인합니다.
  3. 워크로드Pod 로 이동하여 TempoMonolithic 인스턴스의 Pod가 실행 중인지 확인합니다.

  4. Jaeger UI에 접속하세요:

    1. 네트워킹경로 로 가서 Ctrl+F를 눌러 jaegerui를 검색합니다.

      참고

      Jaeger UI는 tempo-<metadata_name_of_TempoMonolithic_CR>-jaegerui 경로를 사용합니다.

    2. 위치 열에서 URL을 열어 Jaeger UI에 액세스합니다.

  5. TempoMonolithic 인스턴스의 포드가 준비되면 클러스터 내부의 tempo-<metadata_name_of_TempoMonolithic_CR>:4317 (OTLP/gRPC) 및 tempo-<metadata_name_of_TempoMonolithic_CR>:4318 (OTLP/HTTP) 엔드포인트로 추적을 보낼 수 있습니다.

    Tempo API는 클러스터 내부의 tempo-<metadata_name_of_TempoMonolithic_CR>:3200 엔드포인트에서 사용할 수 있습니다.

3.5.2. CLI를 사용하여 TempoMonolithic 인스턴스 설치
링크 복사

중요

TempoMonolithic 인스턴스는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

명령줄에서 TempoMonolithic 인스턴스를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 클러스터 관리자가 활성 OpenShift CLI(oc) 세션입니다.

    작은 정보
    • OpenShift CLI(oc) 버전이 최신 버전인지 확인하고 OpenShift Container Platform 버전과 일치하는지 확인합니다.

    • oc login 명령을 실행합니다. 

      $ oc login --username=<your_username>
      Copy to Clipboard Toggle word wrap
  • 하나 이상의 테넌트를 정의하고 읽기 및 쓰기 권한을 구성했습니다. 자세한 내용은 "테넌트에 대한 읽기 권한 구성" 및 "테넌트에 대한 쓰기 권한 구성"을 참조하세요.

프로세스

  1. 다음 명령을 실행하여 이후 단계에서 생성할 TempoMonolithic 인스턴스에 대해 허용된 프로젝트를 선택하세요. 

    $ oc apply -f - << EOF
apiVersion: project.openshift.io/v1
kind: Project
metadata:
  name: <permitted_project_of_tempomonolithic_instance>
    1 
    
EOF
    Copy to Clipboard Toggle word wrap
    1
    openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.

  2. 추적을 저장하는 데 사용할 지원되는 스토리지 유형을 결정합니다. 메모리 내 스토리지, 영구 볼륨 또는 개체 스토리지입니다.

    중요

    개체 스토리지는 분산 추적 플랫폼에 포함되지 않으며 지원되는 공급자 (Red Hat OpenShift Data Foundation , MinIO , Amazon S3 , Azure Blob Storage 또는 Google Cloud Storage) 를 통해 개체 저장소를 설정해야 합니다.

    또한, 개체 스토리지를 선택하려면 TempoMonolithic 인스턴스에 대해 생성한 프로젝트에서 개체 스토리지 버킷에 대한 비밀을 생성해야 합니다. 다음 명령을 실행하면 됩니다. 

    $ oc apply -f - << EOF
<object_storage_secret>
EOF
    Copy to Clipboard Toggle word wrap

    자세한 내용은 "개체 스토리지 설정"을 참조하세요.

    Amazon S3 및 MinIO 스토리지의 시크릿 예

    apiVersion: v1
kind: Secret
metadata:
  name: minio-test
stringData:
  endpoint: http://minio.minio.svc:9000
  bucket: tempo
  access_key_id: tempo
  access_key_secret: <secret>
type: Opaque
    Copy to Clipboard Toggle word wrap

  3. 생성한 프로젝트에서 TempoMonolithic 인스턴스를 생성합니다.

    작은 정보

    동일한 클러스터의 별도 프로젝트에서 여러 TempoMonolithic 인스턴스를 만들 수 있습니다.

    1. TempoMonolithic 사용자 정의 리소스(CR)를 사용자 정의합니다.

      TempoMonolithic CR 예시

      apiVersion: tempo.grafana.com/v1alpha1
kind: TempoMonolithic
      1 
      
metadata:
  name: <metadata_name>
  namespace: <permitted_project_of_tempomonolithic_instance>
      2 
      
spec:
      3 
      
  storage:
      4 
      
    traces:
      backend: <supported_storage_type>
      5 
      
      size: <value>Gi
      6 
      
      s3:
      7 
      
        secret: <secret_name>
      8 
      
    tls:
      9 
      
      enabled: true
      caName: <ca_certificate_configmap_name>
      10 
      
  jaegerui:
    enabled: true
      11 
      
    route:
      enabled: true
      12 
      
  resources:
      13 
      
    total:
      limits:
        memory: <value>Gi
        cpu: <value>m
  multitenancy:
    enabled: true
    mode: openshift
    authentication:
      14 
      
      - tenantName: dev
      15 
      
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
      16 
      
      - tenantName: prod
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfb"
      Copy to Clipboard Toggle word wrap

      1
      이 CR은 OTLP 프로토콜에서 추적 수집 기능을 갖춘 TempoMonolithic 배포를 생성합니다.
      2
      TempoMonolithic 배포를 위해 선택한 프로젝트입니다. openshift- 접두사로 시작하는 프로젝트 이름은 허용되지 않습니다.
      3
      Red Hat은 Red Hat OpenShift Distributed Tracing Platform 문서에서 제공되는 사용자 정의 리소스 옵션만 지원합니다.
      4
      추적을 저장하기 위한 저장소를 지정합니다.
      5
      추적을 저장하기 위한 스토리지 유형: 메모리 내 스토리지, 영구 볼륨 또는 개체 스토리지. 영구 볼륨의 값은 pv 입니다. 사용된 객체 저장소 유형에 따라 객체 저장소에 허용되는 값은 s3 , gcs 또는 azure 입니다. 기본값은 tmpfs 인메모리 저장소의 메모리 입니다. 이는 포드가 종료되면 데이터가 유지되지 않으므로 개발, 테스트, 데모 및 개념 증명 환경에만 적합합니다.
      6
      메모리 크기: 메모리 내 저장소의 경우 이는 tmpfs 볼륨의 크기를 의미하며 기본값은 2Gi 입니다. 영구 볼륨의 경우 이는 영구 볼륨 클레임의 크기를 의미하며 기본값은 10Gi 입니다. 개체 스토리지의 경우 이는 Tempo Write-Ahead Logging(WAL)에 대한 영구 볼륨 클레임 크기를 의미하며 기본값은 10Gi 입니다.
      7
      선택 사항: 개체 스토리지의 경우 개체 스토리지 유형입니다. 사용된 객체 저장소 유형에 따라 허용되는 값은 s3 , gcsazure 입니다.
      8
      선택 사항: 개체 저장소의 경우 저장소 비밀의 메타데이터 에 있는 이름 값입니다. 저장소 비밀은 TempoMonolithic 인스턴스와 동일한 네임스페이스에 있어야 하며 "표 1"에 지정된 필드를 포함해야 합니다. "오브젝트 스토리지 설정" 섹션의 필수 시크릿 매개변수입니다.
      9
      선택 사항입니다.
      10
      선택 사항: CA 인증서가 포함된 ConfigMap 개체의 이름입니다.
      11
      http://<gateway_ingress>/api/traces/v1/<tenant_name>/search 의 경로를 통해 데이터를 시각화하는 Jaeger UI를 공개합니다.
      12
      Jaeger UI에 대한 경로를 생성할 수 있습니다.
      13
      선택 사항입니다.
      14
      세입자를 나열합니다.
      15
      X-Scope-OrgId HTTP 헤더의 값으로 사용되는 테넌트 이름입니다.
      16
      세입자의 고유 식별자입니다. TempoMonolithic 배포의 라이프사이클 전체에 걸쳐 고유해야 합니다. 이 ID는 개체 저장소의 개체에 접두사로 추가됩니다. UUID 또는 tempoName 필드의 값을 재사용할 수 있습니다.

    2. 다음 명령을 실행하여 사용자 지정 CR을 적용합니다. 

      $ oc apply -f - << EOF
<tempomonolithic_cr>
EOF
      Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 모든 TempoMonolithic 구성 요소상태가 실행 중이고 조건이 유형: 준비 인지 확인하세요. 

    $ oc get tempomonolithic.tempo.grafana.com <metadata_name_of_tempomonolithic_cr> -o yaml
    Copy to Clipboard Toggle word wrap

  2. TempoMonolithic 인스턴스의 Pod가 실행 중인지 확인하려면 다음 명령을 실행하세요. 

    $ oc get pods
    Copy to Clipboard Toggle word wrap

  3. Jaeger UI에 접속하세요:

    1. 다음 명령을 실행하여 tempo-<metadata_name_of_tempomonolithic_cr>-jaegerui 경로에 대한 경로 세부 정보를 쿼리합니다. 

      $ oc get route
      Copy to Clipboard Toggle word wrap
    2. 웹 브라우저에서 https://<route_from_previous_step>을 엽니다.

  4. TempoMonolithic 인스턴스의 포드가 준비되면 클러스터 내부의 tempo-<metadata_name_of_tempomonolithic_cr>:4317 (OTLP/gRPC) 및 tempo-<metadata_name_of_tempomonolithic_cr>:4318 (OTLP/HTTP) 엔드포인트로 추적을 보낼 수 있습니다.

    Tempo API는 클러스터 내부의 tempo-<metadata_name_of_tempomonolithic_cr>:3200 엔드포인트에서 사용할 수 있습니다.

4장. 분산 추적 플랫폼 구성
링크 복사

Tempo Operator는 분산 추적 플랫폼 리소스를 만들고 배포하기 위한 아키텍처와 구성 설정을 정의하는 사용자 정의 리소스 정의(CRD) 파일을 사용합니다. 기본 구성을 설치하거나 파일을 수정할 수 있습니다.

4.1. 백엔드 스토리지 구성
링크 복사

백엔드 스토리지 구성에 대한 자세한 내용은 영구 스토리지 이해 및 선택한 스토리지 옵션에 대한 관련 구성 섹션을 참조하세요.

4.2. TempoStack 구성 매개변수 소개
링크 복사

TempoStack 사용자 정의 리소스(CR)는 분산 추적 플랫폼 리소스를 생성하기 위한 아키텍처와 설정을 정의합니다. 이러한 매개변수를 수정하여 비즈니스 요구 사항에 맞게 구현을 사용자 정의할 수 있습니다.

TempoStack CR 예제

apiVersion: tempo.grafana.com/v1alpha1
1 

kind: TempoStack
2 

metadata:
3 

  name: <name>
4 

spec:
5 

  storage: {}
6 

  resources: {}
7 

  replicationFactor: 1
8 

  retention:
9 

    global:
      traces: 48h
    perTenant: {}
  template:
      distributor: {}
10 

      ingester: {}
11 

      compactor: {}
12 

      querier: {}
13 

      queryFrontend: {}
14 

      gateway: {}
15 

  limits:
16 

    global:
      ingestion: {}
17 

      query: {}
18 

  observability:
19 

    grafana: {}
    metrics: {}
    tracing: {}
  search: {}
20 

  managementState: managed
21
Copy to Clipboard Toggle word wrap

1
오브젝트를 생성할 때 사용할 API 버전입니다.
2
생성할 Kubernetes 오브젝트를 정의합니다.
3
name 문자열, UID 및 선택적 namespace를 포함하여 오브젝트를 고유하게 식별하는 데이터입니다. OpenShift Container Platform은 UID를 자동으로 생성하고 오브젝트가 생성된 프로젝트의 이름으로 namespace를 완료합니다.
4
TempoStack 인스턴스의 이름입니다.
5
TempoStack 인스턴스의 모든 구성 매개변수를 포함합니다. 모든 Tempo 구성 요소에 대한 공통 정의가 필요한 경우 사양 섹션에서 정의합니다. 정의가 개별 구성 요소와 관련된 경우 spec.template.<component> 섹션에 배치합니다.
6
저장소는 인스턴스 배포 시 지정됩니다. 인스턴스의 저장 옵션에 대한 자세한 내용은 설치 페이지를 참조하세요.
7
Tempo 컨테이너에 대한 컴퓨팅 리소스를 정의합니다.
8
범위를 수락하기 전에 배포자로부터 데이터를 확인해야 하는 수집기 수에 대한 정수 값입니다.
9
추적 보존을 위한 구성 옵션입니다. 기본값은 48시간 입니다.
10
Tempo 배포기 구성 요소에 대한 구성 옵션입니다.
11
Tempo Ingester 구성 요소에 대한 구성 옵션입니다.
12
Tempo 압축기 구성 요소에 대한 구성 옵션입니다.
13
Tempo 쿼리어 구성 요소에 대한 구성 옵션입니다.
14
Tempo 쿼리 프런트엔드 구성 요소에 대한 구성 옵션입니다.
15
Tempo 게이트웨이 구성 요소에 대한 구성 옵션입니다.
16
수집 및 쿼리 속도를 제한합니다.
17
수집 속도 제한을 정의합니다.
18
쿼리 속도 제한을 정의합니다.
19
원격 측정 데이터를 처리하기 위한 피연산자를 구성합니다.
20
검색 기능을 구성합니다.
21
이 CR이 운영자에 의해 관리되는지 여부를 정의합니다. 기본값은 관리 됩니다.
Expand
표 4.1. TempoStack CR 매개변수
매개변수설명기본값

apiVersion:

오브젝트를 생성할 때 사용할 API 버전입니다.

tempo.grafana.com/v1alpha1

tempo.grafana.com/v1alpha1

kind:

생성할 Kubernetes 오브젝트의 종류를 정의합니다.

tempo

 

metadata:

name 문자열, UID 및 선택적 namespace를 포함하여 오브젝트를 고유하게 식별하는 데이터입니다.

 

OpenShift Container Platform은 UID를 자동으로 생성하고 오브젝트가 생성된 프로젝트의 이름으로 namespace를 완료합니다.

name:

오브젝트의 이름입니다.

TempoStack 인스턴스의 이름입니다.

tempo-all-in-one-inmemory

spec:

생성할 오브젝트의 사양입니다.

TempoStack 인스턴스에 대한 모든 구성 매개변수를 포함합니다. 모든 Tempo 구성 요소에 대한 공통 정의가 필요한 경우 spec 노드 아래에 정의됩니다. 정의가 개별 구성 요소와 관련된 경우 spec.template.<component> 노드 아래에 배치됩니다.

해당 없음

resources:

TempoStack 인스턴스에 할당된 리소스입니다.

  

storageSize:

ingester PVC의 스토리지 크기입니다.

  

replicationFactor:

복제 요소에 대한 구성입니다.

  

retention:

추적 보존을 위한 구성 옵션입니다.

  

storage:

스토리지를 정의하는 구성 옵션입니다.

  

template.distributor:

Tempo 배포자에 대한 구성 옵션입니다.

  

template.ingester:

Tempo ingester의 구성 옵션입니다.

  

template.compactor:

Tempo compactor에 대한 구성 옵션입니다.

  

template.querier:

Tempo querier의 구성 옵션입니다.

  

template.queryFrontend:

Tempo 쿼리 프런트 엔드에 대한 구성 옵션입니다.

  

template.gateway:

Tempo 게이트웨이에 대한 구성 옵션입니다.

  

4.3. 쿼리 구성 옵션
링크 복사

분산 추적 플랫폼의 두 구성 요소인 큐리어 및 쿼리 프런트 엔드는 쿼리를 관리합니다. 이러한 두 구성 요소를 모두 구성할 수 있습니다.

querier 구성 요소는 ingesters 또는 백엔드 스토리지에서 요청된 추적 ID를 찾습니다. set 매개변수에 따라 querier 구성 요소는 ingesters 및 pull bloom 또는 인덱스를 백엔드에서 오브젝트 스토리지의 검색 블록으로 쿼리할 수 있습니다. querier 구성 요소는 GET /querier/api/traces/<trace_id >에서 HTTP 끝점을 노출하지만 직접 사용할 수는 없습니다. 쿼리를 쿼리 프런트 엔드로 보내야 합니다.

Expand
표 4.2. querier 구성 요소에 대한 구성 매개변수
매개변수설명

nodeSelector

노드 선택 제약 조건의 간단한 형식입니다.

유형: 오브젝트

replicas

구성 요소에 대해 생성할 복제본 수입니다.

유형: 정수; 형식: int32

허용 오차

구성 요소별 Pod 허용 오차입니다.

유형: array

쿼리 프런트 엔드 구성 요소는 들어오는 쿼리의 검색 공간을 분할합니다. 쿼리 프런트 엔드는 간단한 HTTP 끝점을 통해 추적을 노출합니다. GET /api/traces/<trace_id > . 내부적으로 쿼리 프런트 엔드 구성 요소는 blockID 공간을 구성 가능한 수의 shard로 분할한 다음 이러한 요청을 대기열에 넣습니다. querier 구성 요소는 스트리밍 gRPC 연결을 통해 쿼리 프런트 엔드 구성 요소에 연결하여 이러한 분할된 쿼리를 처리합니다.

Expand
표 4.3. 쿼리 프런트 엔드 구성 요소에 대한 구성 매개변수
매개변수설명

component

쿼리 프런트 엔드 구성 요소입니다.

유형: 오브젝트

component.nodeSelector

노드 선택 제약 조건의 간단한 형식입니다.

유형: 오브젝트

component.replicas

쿼리 프런트 엔드 구성 요소에 대해 생성할 복제본 수입니다.

유형: 정수; 형식: int32

component.tolerations

쿼리 프런트 엔드 구성 요소와 관련된 Pod 허용 오차입니다.

유형: array

jaegerQuery

Jaeger 쿼리 구성 요소와 관련된 옵션입니다.

유형: 오브젝트

jaegerQuery.enabled

활성화하면 Jaeger 쿼리 구성 요소jaegerQuery 를 생성합니다.

유형: 부울

jaegerQuery.ingress

Jaeger 쿼리 수신에 대한 옵션입니다.

유형: 오브젝트

jaegerQuery.ingress.annotations

ingress 오브젝트의 주석입니다.

유형: 오브젝트

jaegerQuery.ingress.host

ingress 오브젝트의 호스트 이름입니다.

유형: 문자열

jaegerQuery.ingress.ingressClassName

IngressClass 클러스터 리소스의 이름입니다. 이 수신 리소스를 제공하는 수신 컨트롤러를 정의합니다.

유형: 문자열

jaegerQuery.ingress.route

OpenShift 경로에 대한 옵션입니다.

유형: 오브젝트

jaegerQuery.ingress.route.termination

종료 유형입니다. 기본값은 edge 입니다.

type: string (enum: insecure, edge, passthrough, reencrypt)

jaegerQuery.ingress.type

Jaeger 쿼리 UI의 수신 유형입니다. 지원되는 유형은 ingress,route, none 입니다.

유형: 문자열(um: ingress, route)

jaegerQuery.monitorTab

모니터 탭 구성입니다.

유형: 오브젝트

jaegerQuery.monitorTab.enabled

Jaeger 콘솔에서 모니터 탭을 활성화합니다. PrometheusEndpoint 를 구성해야 합니다.

유형: 부울

jaegerQuery.monitorTab.prometheusEndpoint

범위 속도, 오류 및 기간(RED) 메트릭이 포함된 Prometheus 인스턴스의 끝점입니다. 예: https://thanos-querier.openshift-monitoring.svc.cluster.local:9092.

유형: 문자열

TempoStack CR의 쿼리 프런트 엔드 구성의 예

apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: simplest
spec:
  storage:
    secret:
      name: minio
      type: s3
  storageSize: 200M
  resources:
    total:
      limits:
        memory: 2Gi
        cpu: 2000m
  template:
    queryFrontend:
      jaegerQuery:
        enabled: true
        ingress:
          route:
            termination: edge
          type: route
Copy to Clipboard Toggle word wrap

4.4. UI 구성
링크 복사

클러스터 관찰 운영자(COO)의 분산 추적 UI 플러그인을 Red Hat OpenShift 분산 추적 플랫폼의 사용자 인터페이스(UI)로 사용할 수 있습니다. 분산 추적 UI 플러그인을 설치하고 사용하는 방법에 대한 자세한 내용은 Cluster Observability Operator 의 "분산 추적 UI 플러그인"을 참조하세요.

4.5. Jaeger UI에서 모니터 탭 구성
링크 복사

요청 속도, 오류, 기간(RED) 메트릭을 추적에서 추출하여 OpenShift Container Platform 웹 콘솔의 Monitor 탭에서 Jaeger 콘솔을 통해 시각화할 수 있습니다. 메트릭은 사용자 워크로드 모니터링 스택에 배포할 수 있는 Prometheus의 수집기에서 스크랩되는 OpenTelemetry 수집기의 범위에서 파생됩니다. Jaeger UI는 Prometheus 끝점에서 이러한 지표를 쿼리하고 시각화합니다.

사전 요구 사항

  • Distributed Tracing Platform에 대한 권한 및 테넌트를 구성했습니다. 자세한 내용은 "권한 및 테넌트 구성"을 참조하십시오.

프로세스

  1. OpenTelemetryCollector 에서 OpenTelemetry 수집기의 사용자 지정 리소스에서 Spanmetrics Connector(spanmetrics)를 활성화합니다. 이는 추적에서 지표를 파생하고 Prometheus 형식으로 메트릭을 내보냅니다.

    범위의 OpenTelemetryCollector 사용자 정의 리소스의 예

    apiVersion: opentelemetry.io/v1beta1
kind: OpenTelemetryCollector
metadata:
  name: otel
spec:
  mode: deployment
  observability:
    metrics:
      enableMetrics: true
    1 
    
  config: |
    connectors:
      spanmetrics:
    2 
    
        metrics_flush_interval: 15s

    receivers:
      otlp:
    3 
    
        protocols:
          grpc:
          http:

    exporters:
      prometheus:
    4 
    
        endpoint: 0.0.0.0:8889
        add_metric_suffixes: false
        resource_to_telemetry_conversion:
          enabled: true
    5 
    

      otlp:
        auth:
          authenticator: bearertokenauth
        endpoint: tempo-redmetrics-gateway.mynamespace.svc.cluster.local:8090
        headers:
          X-Scope-OrgID: dev
        tls:
          ca_file: /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt
          insecure: false

    extensions:
      bearertokenauth:
        filename: /var/run/secrets/kubernetes.io/serviceaccount/token

    service:
      extensions:
      - bearertokenauth
      pipelines:
        traces:
          receivers: [otlp]
          exporters: [otlp, spanmetrics]
    6 
    
        metrics:
          receivers: [spanmetrics]
    7 
    
          exporters: [prometheus]

# ...
    Copy to Clipboard Toggle word wrap

    1
    ServiceMonitor 사용자 정의 리소스를 생성하여 Prometheus 내보내기를 스크랩할 수 있습니다.
    2
    Spanmetrics 커넥터는 추적 및 내보내기 메트릭을 수신합니다.
    3
    OpenTelemetry 프로토콜에서 기간을 수신하는 OTLP 수신자입니다.
    4
    Prometheus 내보내기는 Prometheus 형식으로 지표를 내보내는 데 사용됩니다.
    5
    리소스 속성은 기본적으로 삭제됩니다.
    6
    Spanmetrics 커넥터는 추적 파이프라인에서 내보내기로 구성됩니다.
    7
    Spanmetrics 커넥터는 메트릭 파이프라인에서 수신자로 구성됩니다.

  2. TempoStack 사용자 정의 리소스에서 Monitor 탭을 활성화하고 Prometheus 끝점을 Thanos querier 서비스로 설정하여 사용자 정의 모니터링 스택의 데이터를 쿼리합니다.

    활성화된 Monitor 탭을 사용하는 TempoStack 사용자 정의 리소스의 예

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: redmetrics
spec:
  storage:
    secret:
      name: minio-test
      type: s3
  storageSize: 1Gi
  tenants:
    mode: openshift
    authentication:
      - tenantName: dev
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfa"
  template:
    gateway:
      enabled: true
    queryFrontend:
      jaegerQuery:
        monitorTab:
          enabled: true
    1 
    
          prometheusEndpoint: https://thanos-querier.openshift-monitoring.svc.cluster.local:9092
    2 
    
          redMetricsNamespace: ""
    3 
    

# ...
    Copy to Clipboard Toggle word wrap

    1
    Jaeger 콘솔에서 모니터링 탭을 활성화합니다.
    2
    사용자 워크로드 모니터링의 Thanos Querier의 서비스 이름입니다.
    3
    선택사항: Jaeger 쿼리가 Prometheus 지표를 검색하는 메트릭 네임스페이스입니다. 0.109.0 이전의 OpenTelemetry 수집기 버전을 사용하는 경우에만 이 행을 포함합니다. OpenTelemetry Collector 버전 0.109.0 이상을 사용하는 경우 이 행을 생략합니다.

  3. 선택 사항: spanmetrics 커넥터에서 생성한 범위를 경고 규칙과 함께 사용합니다. 예를 들어 느린 서비스에 대한 경고 또는 서비스 수준 목표(SLO)를 정의하는 경우 커넥터는 duration_bucket 히스토그램 및 호출 카운터 메트릭을 생성합니다. 이러한 지표에는 서비스, API 이름, 작업 유형 및 기타 속성을 식별하는 레이블이 있습니다.

    Expand
    표 4.4. spanmetrics 커넥터에서 생성된 지표의 레이블
    레이블설명

    service_name

    otel_service_name 환경 변수로 설정된 서비스 이름입니다.

    frontend

    span_name

    작업 이름입니다.

    • /
    • /customer

    span_kind

    서버, 클라이언트, 메시징 또는 내부 작업을 식별합니다.

    • SPAN_KIND_SERVER
    • SPAN_KIND_CLIENT
    • SPAN_KIND_PRODUCER
    • SPAN_KIND_CONSUMER
    • SPAN_KIND_INTERNAL

    프런트 엔드 서비스의 2000ms 내에서 요청의 95%를 제공하지 않을 때 SLO에 대한 경고 규칙을 정의하는 PrometheusRule 사용자 정의 리소스의 예

    apiVersion: monitoring.coreos.com/v1
kind: PrometheusRule
metadata:
  name: span-red
spec:
  groups:
  - name: server-side-latency
    rules:
    - alert: SpanREDFrontendAPIRequestLatency
      expr: histogram_quantile(0.95, sum(rate(duration_bucket{service_name="frontend", span_kind="SPAN_KIND_SERVER"}[5m])) by (le, service_name, span_name)) > 2000
    1 
    
      labels:
        severity: Warning
      annotations:
        summary: "High request latency on {{$labels.service_name}} and {{$labels.span_name}}"
        description: "{{$labels.instance}} has 95th request latency above 2s (current value: {{$value}}s)"
    Copy to Clipboard Toggle word wrap

    1
    프런트 엔드 서버 응답 시간 값의 95%가 2000ms 미만인지 확인하기 위한 표현식입니다. 시간 범위([5m])는 스크랩 간격의 4배 이상이고 메트릭의 변경 사항을 수용할 수 있을 만큼 길어야 합니다.

4.6. 수신자 TLS 구성
링크 복사

TempoStack 또는 TempoMonolithic 인스턴스의 사용자 정의 리소스는 사용자 제공 인증서 또는 OpenShift의 서비스 제공 인증서를 사용하여 수신자의 TLS 구성을 지원합니다.

4.6.1. TempoStack 인스턴스에 대한 수신자 TLS 구성
링크 복사

시크릿에 TLS 인증서를 제공하거나 OpenShift Container Platform에서 생성한 서비스 제공 인증서를 사용할 수 있습니다.

  • 시크릿에 TLS 인증서를 제공하려면 TempoStack 사용자 정의 리소스에서 구성합니다.

    참고

    이 기능은 활성화된 Tempo Gateway에서 지원되지 않습니다.

    수신자의 경우 TLS 및 시크릿에서 사용자 제공 인증서 사용

    apiVersion: tempo.grafana.com/v1alpha1
kind:  TempoStack
# ...
spec:
# ...
  template:
    distributor:
      tls:
        enabled: true
    1 
    
        certName: <tls_secret>
    2 
    
        caName: <ca_name>
    3 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    Tempo Cryostat에서 활성화된 TLS.
    2
    사전에 적용하는 tls.key 키 및 tls.crt 인증서가 포함된 보안입니다.
    3
    선택 사항: 구성 맵의 CA를 사용하여 상호 TLS 인증(mTLS)을 활성화합니다.

  • 또는 OpenShift Container Platform에서 생성한 서비스 제공 인증서를 사용할 수 있습니다.

    참고

    이 기능에서는 mTLS(mutual TLS Authentication)가 지원되지 않습니다.

    OpenShift Container Platform에서 생성된 수신자 및 서비스 제공 인증서를 사용하는 경우 TLS

    apiVersion: tempo.grafana.com/v1alpha1
kind:  TempoStack
# ...
spec:
# ...
  template:
    distributor:
      tls:
        enabled: true
    1 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    Tempo Cryostat에서 TLS에 대한 충분한 구성입니다.

4.6.2. TempoMonolithic 인스턴스에 대한 수신자 TLS 구성
링크 복사

시크릿에 TLS 인증서를 제공하거나 OpenShift Container Platform에서 생성한 서비스 제공 인증서를 사용할 수 있습니다.

  • 시크릿에 TLS 인증서를 제공하려면 TempoMonolithic 사용자 정의 리소스에서 구성합니다.

    참고

    이 기능은 활성화된 Tempo Gateway에서 지원되지 않습니다.

    수신자를 위한 TLS 및 비밀에 사용자 제공 인증서 사용

    apiVersion: tempo.grafana.com/v1alpha1
kind:  TempoMonolithic
# ...
  spec:
# ...
  ingestion:
    otlp:
      grpc:
        tls:
          enabled: true
    1 
    
          certName: <tls_secret>
    2 
    
          caName: <ca_name>
    3 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    Tempo Cryostat에서 활성화된 TLS.
    2
    사전에 적용하는 tls.key 키 및 tls.crt 인증서가 포함된 보안입니다.
    3
    선택 사항: 구성 맵의 CA를 사용하여 상호 TLS 인증(mTLS)을 활성화합니다.

  • 또는 OpenShift Container Platform에서 생성된 서비스 제공 인증서를 사용할 수 있습니다.

    참고

    이 기능에서는 상호 TLS 인증(mTLS)이 지원되지 않습니다.

    OpenShift Container Platform에서 생성된 서비스 제공 인증서를 사용하고 수신자를 위한 TLS

    apiVersion: tempo.grafana.com/v1alpha1
kind:  TempoMonolithic
# ...
  spec:
# ...
  ingestion:
    otlp:
      grpc:
        tls:
          enabled: true
      http:
        tls:
          enabled: true
    1 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    Tempo Distributor의 TLS에 대한 최소 구성입니다.

4.7. RBAC 쿼리 구성
링크 복사

관리자는 쿼리 역할 기반 액세스 제어(RBAC)를 설정하여 사용자에게 권한을 부여한 네임스페이스별로 사용자의 스팬 속성을 필터링할 수 있습니다.

참고

쿼리 RBAC를 활성화하면 사용자는 모든 네임스페이스의 추적에 계속 액세스할 수 있으며, service.namek8s.namespace.name 속성도 모든 사용자에게 표시됩니다.

사전 요구 사항

  • cluster-admin 역할의 클러스터 관리자가 활성 OpenShift CLI(oc) 세션입니다.

    작은 정보
    • OpenShift CLI(oc) 버전이 최신 버전인지 확인하고 OpenShift Container Platform 버전과 일치하는지 확인합니다.

    • oc login 을 실행합니다. 

      $ oc login --username=<your_username>
      Copy to Clipboard Toggle word wrap

프로세스

  1. TempoStack 사용자 정의 리소스(CR)에서 다중 테넌시를 활성화하고 RBAC를 쿼리합니다(예: 

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: simplest
  namespace: chainsaw-multitenancy
spec:
  storage:
    secret:
      name: minio
      type: s3
  storageSize: 1Gi
  resources:
    total:
      limits:
        memory: 2Gi
        cpu: 2000m
  tenants:
    mode: openshift
    authentication:
      - tenantName: dev
        tenantId: "1610b0c3-c509-4592-a256-a1871353dbfb"
  template:
    gateway:
      enabled: true
    1 
    
      rbac:
        enabled: true
    2 
    
    queryFrontend:
      jaegerQuery:
        enabled: false
    3
    Copy to Clipboard Toggle word wrap
    1
    항상 true 로 설정합니다.
    2
    항상 true 로 설정합니다.
    3
    항상 false 로 설정합니다.

  2. TempoStack CR에서 지정한 테넌트에 액세스할 수 있는 권한을 대상 사용자에게 부여하기 위해 클러스터 역할과 클러스터 역할 바인딩을 만듭니다. 예: 

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: tempo-dev-read
rules:
- apiGroups: [tempo.grafana.com]
  resources: [dev]
    1 
    
  resourceNames: [traces]
  verbs: [get]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tempo-dev-read
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: tempo-dev-read
subjects:
  - kind: Group
    apiGroup: rbac.authorization.k8s.io
    name: system:authenticated
    2
    Copy to Clipboard Toggle word wrap
    1
    TempoStack CR의 테넌트 이름.
    2
    인증된 모든 OpenShift 사용자를 의미합니다.

  3. 대상 사용자에게 프로젝트의 속성을 읽을 수 있는 권한을 부여합니다. 다음 명령을 실행하면 됩니다. 

    $ oc adm policy add-role-to-user view <username> -n <project>
    Copy to Clipboard Toggle word wrap

4.8. 오염 및 허용 오차 사용
링크 복사

전용 노드에서 TempoStack Pod를 예약하려면 OpenShift 4에서 nodeSelector 및 톨러레이션을 사용하여 인프라 노드에 다양한 TempoStack 구성 요소를 배포하는 방법을 참조하세요.

4.9. 모니터링 및 알림 구성
링크 복사

Tempo Operator는 배포자, 수집기 등 각 TempoStack 구성 요소에 대한 모니터링과 알림을 지원하고, Operator 자체에 대한 업그레이드 및 운영 지표를 제공합니다.

4.9.1. TempoStack 메트릭 및 알림 구성
링크 복사

TempoStack 인스턴스의 메트릭 및 경고를 활성화할 수 있습니다.

사전 요구 사항

  • 클러스터에서 사용자 정의 프로젝트에 대한 모니터링이 활성화됩니다.

프로세스

  1. TempoStack 인스턴스의 메트릭을 활성화하려면 spec.observability.metrics.createServiceMonitors 필드를 true 로 설정합니다. 

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: <name>
spec:
  observability:
    metrics:
      createServiceMonitors: true
    Copy to Clipboard Toggle word wrap

  2. TempoStack 인스턴스에 대한 경고를 활성화하려면 spec.observability.metrics.createPrometheusRules 필드를 true 로 설정합니다. 

    apiVersion: tempo.grafana.com/v1alpha1
kind: TempoStack
metadata:
  name: <name>
spec:
  observability:
    metrics:
      createPrometheusRules: true
    Copy to Clipboard Toggle word wrap

검증

웹 콘솔의 관리자 보기를 사용하여 구성이 성공했는지 확인할 수 있습니다.

  1. 모니터링대상으로 이동하여 소스: 사용자에 대해 필터링한 다음 tempo-<instance_name>-<component> 형식의 서비스 모니터링의 상태가 Up 인지 확인합니다.
  2. 경고가 올바르게 설정되었는지 확인하려면 모니터링경고경고 규칙으로 이동하여 소스: 사용자 에 대해 필터링한 다음 TempoStack 인스턴스 구성 요소에 대한 경고 규칙을 사용할 수 있는지 확인합니다.

4.9.2. Tempo Operator 메트릭 및 알림 구성
링크 복사

웹 콘솔에서 Tempo Operator를 설치할 때 이 네임스페이스에서 Operator 권장 클러스터 모니터링 활성화 확인란을 선택하여 Tempo Operator의 메트릭 및 경고를 생성할 수 있습니다.

설치 중에 확인란을 선택하지 않은 경우 Tempo Operator를 설치한 후에도 메트릭 및 경고를 수동으로 활성화할 수 있습니다.

프로세스

  • Tempo Operator가 설치된 프로젝트에서 openshift.io/cluster-monitoring: "true" 레이블을 추가합니다. 기본값은 openshift-tempo-operator입니다.

검증

웹 콘솔의 관리자 보기를 사용하여 구성이 성공했는지 확인할 수 있습니다.

  1. 모니터링대상으로 이동하여 소스: 플랫폼을 필터링한 다음 Up 상태가 있어야 하는 tempo-operator 를 검색합니다.
  2. 경고가 올바르게 설정되었는지 확인하려면 모니터링경고경고 규칙으로 이동하여 소스: 플랫폼에 대한 필터링 및 Tempo Operator경고 규칙을 찾습니다.

5장. 분산 추적 플랫폼 문제 해결
링크 복사

다양한 문제 해결 방법을 사용하여 TempoStack 또는 TempoMonolithic 인스턴스의 문제를 진단하고 해결할 수 있습니다.

5.1. 명령줄에서 진단 데이터 수집
링크 복사

지원 사례를 제출할 때 Red Hat 지원팀에 클러스터에 대한 진단 정보를 포함하는 것이 좋습니다. oc adm must-gather 도구를 사용하면 TempoStack 이나 TempoMonolithic 과 같은 다양한 유형의 리소스와 Deployment , Pod , ConfigMap 과 같은 생성된 리소스에 대한 진단 데이터를 수집할 수 있습니다. oc adm must-gather 도구는 이 데이터를 수집하는 새로운 Pod를 생성합니다.

프로세스

  • 수집된 데이터를 저장하려는 디렉토리에서 oc adm must-gather 명령을 실행하여 데이터를 수집합니다. 

    $ oc adm must-gather --image=ghcr.io/grafana/tempo-operator/must-gather -- \
/usr/bin/must-gather --operator-namespace <operator_namespace>
    1
    Copy to Clipboard Toggle word wrap
    1
    Operator가 설치된 기본 네임스페이스는 openshift-tempo-operator 입니다.

검증

  • 새 디렉토리가 생성되었고 수집된 데이터가 포함되어 있는지 확인하세요.

6장. 업그레이드
링크 복사

버전 업그레이드의 경우 Tempo Operator는 OLM(Operator Lifecycle Manager)을 사용하여 클러스터에서 Operator의 설치, 업그레이드, RBAC(역할 기반 액세스 제어)를 제어합니다.

OLM은 기본적으로 OpenShift 컨테이너 플랫폼에서 실행됩니다. 사용 가능한 Operator 및 설치된 Operator의 업그레이드에 대한 OLM 쿼리입니다.

Tempo Operator가 새 버전으로 업그레이드되면 이를 관리하는 TempoStack 인스턴스를 검사하고 Operator의 새 버전에 해당하는 버전으로 업그레이드합니다.

7장. 분산 추적 플랫폼 제거
링크 복사

OpenShift Container Platform 클러스터에서 Red Hat OpenShift Distributed Tracing Platform을 제거하는 단계는 다음과 같습니다.

  1. 모든 분산 추적 플랫폼 포드를 종료합니다.
  2. TempoStack 인스턴스를 제거합니다.
  3. Tempo Operator를 제거합니다.

7.1. 웹 콘솔을 사용하여 제거
링크 복사

웹 콘솔의 관리자 보기에서 TempoStack 인스턴스를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할을 사용하여 클러스터 관리자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • Red Hat OpenShift Dedicated의 경우 dedicated-admin 역할이 있는 계정을 사용하여 로그인해야 합니다.

프로세스

  1. Operator설치된 OperatorTempo OperatorTempoStack으로 이동합니다.
  2. TempoStack 인스턴스를 제거하려면 kebabTempoStack 삭제삭제를 선택합니다.
  3. 선택 사항: Tempo Operator를 제거합니다.

7.2. CLI를 사용하여 제거
링크 복사

명령줄에서 TempoStack 인스턴스를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 클러스터 관리자가 활성 OpenShift CLI(oc) 세션입니다.

    작은 정보
    • OpenShift CLI(oc) 버전이 최신 버전인지 확인하고 OpenShift Container Platform 버전과 일치하는지 확인합니다.

    • oc login 을 실행합니다. 

      $ oc login --username=<your_username>
      Copy to Clipboard Toggle word wrap

프로세스

  1. 다음 명령을 실행하여 TempoStack 인스턴스의 이름을 가져옵니다. 

    $ oc get deployments -n <project_of_tempostack_instance>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 TempoStack 인스턴스를 제거합니다. 

    $ oc delete tempo <tempostack_instance_name> -n <project_of_tempostack_instance>
    Copy to Clipboard Toggle word wrap
  3. 선택 사항: Tempo Operator를 제거합니다.

검증

  1. 다음 명령을 실행하여 성공적으로 제거되었음을 나타내는 TempoStack 인스턴스가 출력에 없는지 확인합니다. 

    $ oc get deployments -n <project_of_tempostack_instance>
    Copy to Clipboard Toggle word wrap

Legal Notice
링크 복사

Copyright © 2025 Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat