¿Cómo soluciono los problemas de registro en Amazon EKS?

Resolución

Antes de solucionar el problema, asegúrate de que la aplicación escriba los registros.

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Verificar que la red esté configurada correctamente

Comprueba que la red esté configurada correctamente para tus subredes y grupos de seguridad de Amazon Virtual Private Cloud (Amazon VPC). Comprueba lo siguiente:

• Si usas una puerta de enlace de Internet, confirma que esté correctamente asociada a la tabla de enrutamiento. Además, confirma que el tráfico de red entrante o saliente se enruta correctamente.
• Si usas una puerta de enlace de NAT, confirma que está configurada correctamente en una subred pública. A continuación, valida que la tabla de enrutamiento asociada esté enrutando correctamente.
• Si tienes un clúster privado con acceso limitado a Internet, asegúrate de que tu clúster tenga el punto de enlace de la interfaz de VPC com.amazonaws.region.logs con la política correcta adjunta.
• Si tienes una cuenta de servicio, es posible que hayas configurado los pods con roles de AWS Identity and Access Management (IAM). Si no hay acceso saliente a Internet, debes usar el punto de enlace de VPC com.amazonaws.region.logs de AWS Security Token Service (AWS STS) en tu VPC.
• Es posible que desees extraer imágenes de un repositorio privado de Amazon Elastic Container Registry (Amazon ECR). Si no tienes una puerta de enlace de NAT ni acceso saliente a Internet, necesitarás los siguientes puntos de enlace de VPC y un punto de enlace de puerta de enlace de Amazon Simple Storage Service (Amazon S3):
  com.amazonaws.region-code.s3
  com.amazonaws.region-code.ecr.api
  com.amazon.region-code.ecr.dkr
• El grupo de seguridad del punto de enlace de VPC debe tener una regla de entrada que permita el tráfico desde el puerto 443. Además, confirma que el grupo de seguridad del nodo permita el tráfico saliente a los puntos de enlace de VPC.

Verificar que los pods tengan los permisos suficientes

Si utilizas pods con roles de IAM para las cuentas de servicio, comprueba que has anotado en la cuenta de servicio el rol de IAM correcto. Comprueba que has creado el proveedor IAM OpenID Connect (OIDC) para el clúster.

Para comprobar el rol y los permisos de IAM de la cuenta de servicio, sigue estos pasos:

1. Describe el rol de IAM de la cuenta de servicio y, a continuación, confirma que está presente la siguiente anotación. Ejecuta el siguiente comando:

   eks.amazonaws.com/role-arn: arn:aws:iam::111122223333:role/YOUR-ROLE-NAME

   Nota: Sustituye YOUR-ROLE-NAME por el nombre del rol de IAM de tu cuenta.

2. Confirma que el rol de IAM tenga la CloudWatchAgentServerPolicy adjunta. O confirma que tienes una política con los mismos permisos. Si no es así, asegúrate de que el rol de nodo tenga la CloudWatchAgentServerPolicy adjunta.

Solución de problemas de configuración de Fluent Bit

Si has instalado el enrutador de registros de Fluent Bit, confirma que los pods se están ejecutando y que el sistema envía los registros a Amazon CloudWatch. De lo contrario, es posible que tengas problemas con tus permisos de IAM o con la red.

Para solucionar problemas de despliegue y configuración de Fluent Bit, comprueba lo siguiente:

Para comprobar los pods del espacio de nombres en el que has instalado Fluent Bit, ejecuta el siguiente comando:

kubectl get pods -n NAMESPACE

Nota: Sustituye NAMESPACE por el nombre de tu espacio de nombres.

Si tus nodos tienen taints, asegúrate de que los pods estén configurados con las tolerancias.

Si los pods están en un estado que no sea EN EJECUCIÓN, ejecuta el siguiente comando para comprobar los eventos del pod:

kubectl describe pod POD_NAME -n NAMESPACE

Nota: Sustituye POD_NAME por el nombre de tu pod y NAMESPACE por el nombre de tu espacio de nombres.

Para comprobar si hay algún error en los registros del pod, ejecuta el siguiente comando:

kubectl logs POD_NAME -n NAMESPACE

Nota: Sustituye POD_NAME por el nombre de tu pod y NAMESPACE por el nombre de tu espacio de nombres.

De forma predeterminada, el nivel de registro de Fluent Bit está establecido en info. Si quieres obtener más información, configúralo en depurar. Para obtener más información, consulta Configuration file (Archivo de configuración) en el sitio web de Fluent Bit.

Para ver tus configuraciones de ConfigMap de Fluent Bit, ejecuta el siguiente comando:

kubectl get cm CONFIGMAP_NAME -n NAMESPACE -o yaml

Nota: Sustituye CONFIGMAP_NAME por el nombre de tu ConfigMap y NAMESPACE por el nombre de tu espacio de nombres.

Comprueba que el rol o rol de nodo asociado a la cuenta de servicio tenga los permisos de IAM correctos en función del destino configurado.

Solución de problemas con el agente de CloudWatch

Comprueba que el rol de IAM del nodo tenga los permisos necesarios. Si utilizas un rol de IAM que tiene un rol de cuenta de servicio, asegúrate de haber creado un proveedor de OIDC y un rol y una política de IAM. Comprueba que la cuenta de servicio esté anotada correctamente con el rol de IAM adecuado.

Confirma que los pods de DaemonSet de cloudwatch-agent se ejecuten correctamente. Si tus nodos tienen taints, confirma que los pods estén configurados con tolerancias. Para obtener la lista de pods, ejecuta el siguiente comando:

kubectl logs POD_NAME -n amazon-cloudwatch

Nota: Sustituye POD_NAME por el nombre de tu pod.

Si los pods están en un estado que no sea EN EJECUCIÓN, ejecuta los eventos de comprobación de pods. Ejecuta el siguiente comando:

kubectl describe pod POD_NAME -n amazon-cloudwatch

Nota: Sustituye POD_NAME por el nombre de tu pod.

Comprueba que has establecido correctamente el nombre del clúster en el ConfigMap. Para comprobar los registros de los pods, ejecuta el siguiente comando:

kubectl logs POD_NAME -n amazon-cloudwatch

Nota: Sustituye POD_NAME por el nombre de tu pod.

Si utilizas una imagen pública en DaemonSet, asegúrate de que tus nodos tengan acceso a Internet. Si utilizas una imagen de tu repositorio privado, confirma que el tráfico requerido está permitido.

Solución de problemas de registro en un clúster de Fargate

Nota: El registro de AWS Fargate no admite la configuración dinámica de ConfigMaps. Los cambios no se aplican a los pods existentes, por lo que cualquier cambio en ConfigMaps se aplica solo a los nuevos pods.

Para comprobar que has creado un espacio de nombres denominado aws-observability con la etiqueta aws-observability: enabled, ejecuta el siguiente comando:

kubectl get ns aws-observability -o yaml

Confirma que has especificado la política de IAM correcta en el rol de ejecución del pod para tu perfil de Fargate. Por ejemplo, si quieres enviar registros a CloudWatch, asegúrate de que el rol de ejecución del pod tenga los siguientes permisos:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:CreateLogGroup",
            "logs:DescribeLogStreams",
            "logs:PutLogEvents",
            "logs:PutRetentionPolicy"
        ],
        "Resource": "*"
    }]
}

Confirma que has creado el ConfigMap correctamente en el espacio de nombres aws-observability. Verifica que el ConfigMap se alinee con las reglas que Fargate usa para validar los campos.

Si te faltan los registros de procesos de Fluent Bit, confirma que has establecido flb_log_cw: "true" en el ConfigMap.

Solución de problemas del complemento de observabilidad de CloudWatch en Amazon EKS

Si el complemento de observabilidad de CloudWatch de Amazon EKS usa un rol de IAM como cuenta de servicio, confirma que has creado un proveedor de OIDC para tu clúster. A continuación, confirma que has configurado la cuenta de servicio con el rol correcto. El rol debe tener adjunta la política CloudWatchAgentServerPolicy.

Si has usado la consola de administración de AWS para instalar el complemento administrado, confirma que los pods y el estado del complemento estén activos en la consola. Si el complemento se encuentra en estado fallido, comprueba el motivo del error. Del mismo modo, si has usado Helm para instalar el complemento, confirma que la instalación de Helm se realizó correctamente.

Si observas un error en los recursos existentes, es posible que ya hayas instalado los componentes necesarios para el complemento. Si ya has instalado el agente de CloudWatch, elimínalo del clúster antes de instalar el complemento. También debes crear una copia de seguridad de cualquier personalización o modificación que hayas realizado en el agente de CloudWatch original antes de instalar el complemento. Puedes volver a aplicar las personalizaciones después de instalar o actualizar el complemento o gráfico de Helm.

Información relacionada

How do I troubleshoot missing container logs for Amazon ECS or Amazon EKS? (¿Cómo soluciono los registros de contenedores que faltan en Amazon ECS o Amazon EKS?)

¿Cómo activo las métricas de Información de contenedores en un clúster de Amazon EKS?