<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="1" class="code-line">この記事は <a href="https://qiita.com/advent-calendar/2024/zozo" target="_blank" rel="nofollow noopener noreferrer">ZOZO Advent Calendar 2024</a> カレンダー Vol.11 の 21日目の記事です。</p>
</div></aside>
<p data-line="4" class="code-line"><code>kubectl debug</code>コマンドを利用してGKE上で動いているコンテナにアクセスして、任意のログを吐き出させる方法について紹介します。</p>
<h1 id="%E8%83%8C%E6%99%AF" data-line="6" class="code-line">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h1>
<p data-line="8" class="code-line">私たちの環境では、kube-state-metricsとCloud MonitoringのPodのPending状態が15分以上継続するとアラートが飛ぶようにしています。</p>
<p data-line="10" class="code-line">GKE Cluster上で動くアプリケーションの数が増えるにつれて、メトリクスの送信量も増えてCloud Monitoringのクォータに引っ掛かり429エラーでメトリクスが送信できずアラートも正常に機能しない状態になっていました。</p>
<p data-line="12" class="code-line">またkube-state-metricsとその周辺のコンポーネントは管理用ということもあって、監視もしっかりとしているわけではありませんでした。<br>
結果として、429エラーは継続して出ていたにも関わらず気がつくのが遅れてしまいました。</p>
<p data-line="15" class="code-line">そこで、以下2つの対応をすることで上記の問題を解決することを目指しました。</p>
<ol data-line="17" class="code-line">
<li data-line="17" class="code-line">利用していないメトリクスの送信をやめることで、そもそもクォータに引っ掛からないようにする</li>
<li data-line="18" class="code-line">429エラーが再発したとしてもすぐに気がつくことができるように、エラーログの監視を追加する</li>
</ol>
<p data-line="20" class="code-line">この記事では、特に2つ目の対策を行った際に直面した課題とその解決方法について紹介します。</p>
<h1 id="%E8%AA%B2%E9%A1%8C" data-line="22" class="code-line">
<a class="header-anchor-link" href="#%E8%AA%B2%E9%A1%8C" aria-hidden="true"></a> 課題</h1>
<p data-line="24" class="code-line">1つ目の対策を行い、Cloud Monitoringへ送信するメトリクスの数を絞ったことで429エラーを出なくすることには成功しました。</p>
<p data-line="26" class="code-line">しかし、2つ目のログ監視を実装しその動作確認をしようとした時に問題に気が付きました...</p>
<p data-line="28" class="code-line">「あれ、429エラーもう出ないのにどうやってアラートが正常に動作することを確認するんだ??」</p>
<p data-line="30" class="code-line">もし実装にミスがあり、アラートが正常に動作しないのであればアラートを追加した意味が全くなくなってしまいます。<br>
そのためにも動作確認は必須ですが、そのやり方に困ってしまいました。</p>
<p data-line="33" class="code-line">要するに過去に発生したログを再度発生させればよいのですが、これが意外と難しかったです。<br>
なので、同じ問題に当たった人が困らないようにこの記事を書きました。</p>
<h1 id="%E6%96%B9%E9%87%9D" data-line="36" class="code-line">
<a class="header-anchor-link" href="#%E6%96%B9%E9%87%9D" aria-hidden="true"></a> 方針</h1>
<p data-line="38" class="code-line">アラートに利用したフィルター条件は以下のとおりです。</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">フィルター条件</span></div>
<pre class="language-plaintext"><code class="language-plaintext code-line" data-line="40">resource.type="k8s_container"
resource.labels.namespace_name="kube-support"
severity=ERROR
jsonPayload.message=~"^Error while sending request to Stackdriver googleapi: Error 429.*"
</code></pre>
</div><p data-line="47" class="code-line">上記のフィルターを満たすようなログを再度発生させるにあたって、検討した方針は大きく以下の3つでした</p>
<ol data-line="49" class="code-line">
<li data-line="49" class="code-line">メトリクスを絞る前に戻して、429エラーを再発させる</li>
<li data-line="50" class="code-line">Cloud Loggingのログエントリを手動で作成する</li>
<li data-line="51" class="code-line">実際に動いているコンテナにアクセスして、手動でログを作り出す</li>
</ol>
<p data-line="53" class="code-line">1のやり方は、戻してもクォータに引っ掛かるまで時間が掛かるかつ開発環境ではそもそもメトリクスの数も多くないためクォータに引っ掛かる状態にする方が難しいという判断で諦めました。</p>
<p data-line="55" class="code-line">2のやり方は、Cloud Loggingの公式ドキュメントでも紹介されているやり方でかなり有力に見えました。<br>
しかし、実際に試してみるとresource.typeがglobalになってしまいフィルター条件に合わなかったり、その他のフィールドも実際のログと異なるため今回のタスクの動作確認としては使えませんでした。</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">実際に試したコマンド</span></div>
<pre class="language-shellscript"><code class="language-shellscript code-line" data-line="58">$ gcloud logging write --payload-type json 'projects/zozo-mlops-dev/logs/stderr' '
</code></pre>
</div><p data-line="62" class="code-line">2のやり方では、GKEのロギングエージェントを通さないためGKEのログを完全に再現できないという課題がありました。</p>
<h1 id="%E3%81%86%E3%81%BE%E3%81%8F%E3%81%84%E3%81%A3%E3%81%9F%E3%82%84%E3%82%8A%E6%96%B9" data-line="64" class="code-line">
<a class="header-anchor-link" href="#%E3%81%86%E3%81%BE%E3%81%8F%E3%81%84%E3%81%A3%E3%81%9F%E3%82%84%E3%82%8A%E6%96%B9" aria-hidden="true"></a> うまくいったやり方</h1>
<p data-line="66" class="code-line">最終的には、3のコンテナのにアクセスして手動でログを作り出すやり方でうまく動作確認することができました。<br>
その中でも、工夫した点を紹介します</p>
<h3 id="gke%E3%81%AE%E3%83%AD%E3%82%B0%E5%8F%8E%E9%9B%86%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF" data-line="69" class="code-line">
<a class="header-anchor-link" href="#gke%E3%81%AE%E3%83%AD%E3%82%B0%E5%8F%8E%E9%9B%86%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF" aria-hidden="true"></a> GKEのログ収集の仕組み</h3>
<p data-line="71" class="code-line">Kubernetesでは通常コンテナ化されたアプリケーションのstdoutとstderrがログとして処理されて、/var/logディレクトリに保存されます。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__cb0c56b767b11" src="https://embed.zenn.studio/card#zenn-embedded__cb0c56b767b11" data-content="https%3A%2F%2Fkubernetes.io%2Fdocs%2Fconcepts%2Fcluster-administration%2Flogging%2F%23how-nodes-handle-container-logs" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://kubernetes.io/docs/concepts/cluster-administration/logging/#how-nodes-handle-container-logs" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://kubernetes.io/docs/concepts/cluster-administration/logging/#how-nodes-handle-container-logs</a></p>
<p data-line="74" class="code-line">これはGKEでも同様で、ロギングエージェントとして使われているfluentbitも以下のように設定されており、fluentbitが/var/log/containers/*.logを監視して、Cloud Logging経由でログを送信していることがわかります。</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">fluentbit-gke-config-v1.4.0</span></div>
<pre class="language-plaintext"><code class="language-plaintext code-line" data-line="76">[INPUT]
    Name             tail
    Alias            kube_containers
    Tag              kube_&lt;namespace_name&gt;_&lt;pod_name&gt;_&lt;container_name&gt;
    Tag_Regex        (?&lt;pod_name&gt;[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)_(?&lt;namespace_name&gt;[^_]+)_(?&lt;container_name&gt;.+)-
    Path             /var/log/containers/*.log
    Exclude_Path     /var/log/containers/*_kube-system_*.log,/var/log/containers/*_istio-system_*.log,/var/log/containers/*_knative-serving_*.log,/var/log/containers/*_gke-system_*.log,/var/log/containers/*_config-management-system_*.log,/var/log/containers/*_gmp-system_*.log,/var/log/containers/*_gke-managed-cim_*.log
    DB               /var/lib/google-fluentbit/pos-files/flb_kube.db
    Buffer_Max_Size  20MB
    Mem_Buf_Limit    100MB
    Skip_Long_Lines  On
    Refresh_Interval 1
    Read_from_Head   True
</code></pre>
</div><p data-line="92" class="code-line">これはkube-systemネームスペースのfluentbit-gke-config-v1.4.0というConfigMapで設定されています。</p>
<p data-line="94" class="code-line">この結果から、対象のコンテナの標準出力/エラーにメッセージを差し込む or Nodeの/var/log/containers配下にログファイルを追加することで任意のログが再現できそうだと分かりました。</p>
<p data-line="96" class="code-line">今回は、より既存の仕組みを活用することができる「対象のコンテナの標準出力/エラーにメッセージを差し込む」やり方を選択しました。</p>
<p data-line="98" class="code-line">しかしPodログやNodeログの再現がしたい場合など、別のケースではNodeの/var/log配下にログファイルを追加するやり方を使う必要があります。</p>
<h3 id="%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%85%88%E3%81%8Cdistroless%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%81%8A%E3%82%8A%E3%80%81%E3%82%B7%E3%82%A7%E3%83%AB%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%AA%E3%81%84%E5%95%8F%E9%A1%8C" data-line="100" class="code-line">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%85%88%E3%81%8Cdistroless%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%81%8A%E3%82%8A%E3%80%81%E3%82%B7%E3%82%A7%E3%83%AB%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%AA%E3%81%84%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> アクセス先がdistrolessイメージを使っており、シェルが使えない問題</h3>
<p data-line="102" class="code-line">ここまで来れば、後はコンテナの中に入って、該当のプロセスの標準出力/エラーに再現したいメッセージを入れれば動作確認できるはずだと考えていました。<br>
そう思って、kubectl execしようとしてみるとシェルに入れませんでした。</p>
<p data-line="105" class="code-line">429エラーを出していたコンテナでは、prometheusu-to-sdというGoogleが管理しているイメージを使っていました。<br>
これがベースイメージとして、distrolessを使っていたためシェルが内蔵されていないことが原因でした。</p>
<p data-line="108" class="code-line">そこでエフェメラルコンテナによるデバッグを利用しました。<br>
以下のようにすることで、デバッグ用のエフェメラルコンテナ(busybox)が立ち上がり、対象のcontainerとプロセス名前空間が共有されます。</p>
<div class="code-block-container"><pre class="language-shellscript"><code class="language-shellscript code-line" data-line="111">$ kubectl debug -it &lt;対象のpod&gt; --target=&lt;対象のcontainer&gt; --image=busybox:1.28 -- sh
</code></pre></div><p data-line="114" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__42bf6895ea7eb" src="https://embed.zenn.studio/card#zenn-embedded__42bf6895ea7eb" data-content="https%3A%2F%2Fkubernetes.io%2Fja%2Fdocs%2Ftasks%2Fdebug%2Fdebug-application%2Fdebug-running-pod%2F%23ephemeral-container" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://kubernetes.io/ja/docs/tasks/debug/debug-application/debug-running-pod/#ephemeral-container" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://kubernetes.io/ja/docs/tasks/debug/debug-application/debug-running-pod/#ephemeral-container</a></p>
<div class="code-block-container"><pre class="language-shellscript"><code class="language-shellscript code-line" data-line="116"># エフェメラルコンテナの中で実行
$ echo '{"message": "Error while sending request to Stackdriver googleapi: Error 429: One or more TimeSeries could not be written: ~~~長いので省略~~~ rateLimitExceeded"' &gt;&gt; /proc/1/fd/2  # PID1に標準エラー出力にJSON形式のテキストを追記
</code></pre></div><p data-line="121" class="code-line">後は、ログを出力させたいプロセス(大抵の場合PID=1)の標準出力(エラー)に対して、目的のメッセージを送ることで任意のログを出力することができました。</p>
<p data-line="123" class="code-line"><img src="https://storage.googleapis.com/zenn-user-upload/5c72acd73767-20241212.png" loading="lazy" class="md-img"></p>
<h3 id="jsonpayload%E3%81%8Cmessage%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E3%83%89%E3%81%A0%E3%81%91%E3%81%AE%E5%A0%B4%E5%90%88%E3%80%81textpayload%E3%81%AB%E5%A4%89%E6%8F%9B%E3%81%95%E3%82%8C%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86%E5%95%8F%E9%A1%8C" data-line="125" class="code-line">
<a class="header-anchor-link" href="#jsonpayload%E3%81%8Cmessage%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E3%83%89%E3%81%A0%E3%81%91%E3%81%AE%E5%A0%B4%E5%90%88%E3%80%81textpayload%E3%81%AB%E5%A4%89%E6%8F%9B%E3%81%95%E3%82%8C%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> jsonPayloadがmessageフィールドだけの場合、textPayloadに変換されてしまう問題</h3>
<p data-line="127" class="code-line">「めでたしめでたし」と思ったのですが、いつまで経ってもアラートが鳴りませんでした...</p>
<p data-line="129" class="code-line">なぜかと思って、自然に出力されたログと今回生み出したログを見比べてみると..<br>
よく見ると、生み出したログはjsonPayloadではなくtextPayloadとしてメッセージが出力されていました。</p>
<p data-line="132" class="code-line">標準エラーにはJSON形式で出力したのになぜ??と思って調べていると、どうやらCloud Loggingのmessageフィールドの仕様は少し特殊なようで、jsonPayloadにmessageフィールドしかない場合はtextPayloadに変換されてしまうようでした。</p>
<p data-line="134" class="code-line"><a href="https://zenn.dev/knowledgework/articles/cloud-logging-special-payload-fields#message" target="_blank">Cloud Logging 構造化ログの特別な JSON フィールドまとめ</a></p>
<p data-line="136" class="code-line">よく見ると、元のログには<code>"pid": "1"</code>というフィールドも含まれていました。<br>
そこで改めて、以下のようにフィールドを追加するとうまくいきました!!</p>
<div class="code-block-container"><pre><code class="code-line" data-line="139"># エフェメラルコンテナの中で実行
$ echo '{"message": "Error while sending request to Stackdriver googleapi: Error 429: One or more TimeSeries could not be written: ~~~長いので省略~~~ rateLimitExceeded", "pid": "1"}' &gt;&gt; /proc/1/fd/2  # PID1に標準エラー出力にJSON形式のテキストを追記
</code></pre></div><p data-line="144" class="code-line">無事意図通りにエラーログの監視が実装できていることを確認することができました。</p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="146" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p data-line="148" class="code-line">GKEとCloud Monitoringにおけるログ監視アラートの動作確認方法について説明しました。</p>
<p data-line="150" class="code-line">コンテナの標準出力(エラー)にメッセージを送ることでログを再現することができます<br>
kubectl debugを使うことで、シェルが含まれないコンテナでも中に入ることができます<br>
Cloud Loggingのmessageフィールドは仕様が特殊なので気をつけましょう</p>
<h2 id="%E6%84%9F%E6%83%B3" data-line="154" class="code-line">
<a class="header-anchor-link" href="#%E6%84%9F%E6%83%B3" aria-hidden="true"></a> 感想</h2>
<p data-line="156" class="code-line">フィルター条件に過去のログが引っ掛かるから大丈夫だろうということで、動作確認をせずに済ませることもできたタスクでしたが、妥協せずに深く調べることで様々な学びがありました。</p>


GKEで動かしているコンテナから任意のログを吐き出させる方法

アクセス先がdistrolessイメージを使っており、シェルが使えない問題

jsonPayloadがmessageフィールドだけの場合、textPayloadに変換されてしまう問題

Discussion