Vincular la aplicación instrumentada APMa Kubernetes

Puede mostrar los metadatos Kubernetes y vincularlos a su agente APM como rastreo distribuido para explorar problemas de rendimiento y solucionar errores de transacción. Para obtener más información, consulte esta publicación de blog sobre monitoreo del rendimiento de aplicaciones a través de Kubernetes.

El producto de inyección de metadatos utiliza un MutatingAdmissionWebhook para agregar las siguientes variables de entorno al pod:

NEW_RELIC_METADATA_KUBERNETES_CLUSTER_NAME
NEW_RELIC_METADATA_KUBERNETES_NODE_NAME
NEW_RELIC_METADATA_KUBERNETES_NAMESPACE_NAME
NEW_RELIC_METADATA_KUBERNETES_DEPLOYMENT_NAME
NEW_RELIC_METADATA_KUBERNETES_POD_NAME
NEW_RELIC_METADATA_KUBERNETES_CONTAINER_NAME
NEW_RELIC_METADATA_KUBERNETES_CONTAINER_IMAGE_NAME

Sugerencia

Nuestro proyecto de inyección de metadatos de Kubernetes es de código abierto. Aquí está el código para vincular APM y datos de infraestructura.

Compatibilidad y requisitos

Para vincular su aplicación y Kubernetes, debe poder desplegar MutatingWebhookConfigurations en su clúster de Kubernetes.

Para verificar que tiene los permisos requeridos, puede ejecutar el siguiente comando:

bash

$kubectl auth can-i create mutatingwebhookconfigurations.admissionregistration.k8s.io -A

El resultado del comando anterior debería ser algo similar a:

yes

Si ve un resultado diferente, siga la documentación de Kubernetes para habilitar el control de admisión en su clúster.

Requisitos de red

Para que Kubernetes se comunique con nuestro MutatingAdmissionWebhook, se debe permitir la salida del nodo maestro (o el contenedor del servidor API , dependiendo de cómo esté configurado el clúster) para que el tráfico HTTPS en el puerto 443 llegue a todos los demás nodos del clúster. .

Esto puede requerir una configuración específica dependiendo de cómo esté configurada la infraestructura (local, AWS, Google Cloud, etc.).

APM compatibilidad del agente

El siguiente agente New Relic recopila metadatos Kubernetes :

Configurar la inyección de metadatos

La inyección de metadatos se incluye cuando instala nuestra integración usando Helm. Solo asegúrese de que, cuando esté configurando el gráfico nri-bundle , el webhook que inyecta los metadatos esté habilitado:

nri-metadata-injection:
  enabled: true

Será necesario reiniciar el pod de su aplicación después de desplegar el webhook, para que puedan recoger las variables de entorno necesarias.

De forma predeterminada, todos los pods que cree que incluyan el agente APM tienen configuradas las variables de entorno correctas y la inyección de metadatos se aplica a todo el clúster. Para comprobar que se han configurado las variables de entorno, se debe detener cualquier contenedor que se esté ejecutando e iniciar una nueva instancia (consulte Validar la inyección de metadatos).

Esta configuración predeterminada también utiliza la API de certificados de Kubernetes para administrar automáticamente los certificados necesarios para la inyección. Si es necesario, puedes limitar la inyección de metadatos a espacios de nombres específicos en tu clúster o autogestionar tus certificados.

Configuración personalizada

Limitar el espacio de nombres sujeto a inyección

Puede limitar la inyección de metadatos solo a un espacio de nombres específico mediante el uso de etiquetas.

Para habilitar esta característica, agregue lo siguiente al archivo values-newrelic.yaml :

nri-metadata-injection:
  injectOnlyLabeledNamespaces: true

Con esta opción, la inyección solo se aplica a aquellos espacios de nombres que tienen la etiqueta newrelic-metadata-injection establecida en enabled:

bash

$kubectl label namespace YOUR_NAMESPACE newrelic-metadata-injection=enabled

Utilice cert-manager para generar certificados

De forma predeterminada, nuestro gráfico utiliza kube-webhook-certgen para generar automáticamente los certificados necesarios para que se ejecute el webhook.

Sin embargo, si tiene instalado cert-manager , puede configurar nuestro gráfico para usar cert-manager en su lugar, lo que puede simplificar significativamente el proceso de implementación:

nri-metadata-injection:
  certManager:
    enabled: true

Administrar certificados personalizados

Sugerencia

Se recomienda administrar manualmente los certificados de webhook solo para usuarios avanzados. Es posible que el equipo de soporte New Relic no pueda ayudar a resolver los problemas de esta configuración.

Para utilizar certificados personalizados, debe desactivar la instalación automática de certificados cuando realiza la instalación mediante Helm.

Para deshabilitar la instalación de certificados, simplemente modifique nri-bundle Helm values.yaml de esta manera:

nri-metadata-injection:
  customTLSCertificate: true

Ahora puede continuar con la opción de gestión de certificados personalizados.

Necesita su certificado, clave de servidor y paquete de autoridad de certificación (CA) codificados en formato PEM.

Si los tiene en el formato de certificado estándar (X.509), instale openssl y ejecute lo siguiente:

bash

$openssl x509 -in YOUR_CERTIFICATE_FILENAME -outform PEM -out YOUR_CERTIFICATE_FILENAME.pem
$openssl x509 -in YOUR_SERVER_KEY_FILENAME -outform PEM -out YOUR_SERVER_KEY_FILENAME.pem 
$openssl x509 -in YOUR_CA_BUNDLE_FILENAME -outform PEM -out YOUR_BUNDLE_FILENAME.pem

Si su certificado/par de claves está en otro formato, consulte la base de conocimientos de Digicert para obtener más ayuda.

Cree el secreto TLS con el par de claves/certificado firmado y parchee la configuración del webhook mutante con la CA mediante los siguientes comandos:

bash

$kubectl create secret tls YOUR_NEWRELIC_METADATA_INJECTION_ADMISSION \
>  --key=YOUR_PEM_ENCODED_SERVER_KEY \
>  --cert=YOUR_PEM_ENCODED_CERTIFICATE \
>  --dry-run -o yaml |
$kubectl -n newrelic apply -f -
$
$caBundle=$(cat YOUR_PEM_ENCODED_CA_BUNDLE | base64 | td -d $'\n')
$kubectl patch mutatingwebhookconfiguration newrelic-metadata-injection-cfg --type='json' -p "[{'op': 'replace', 'path': '/webhooks/0/clientConfig/caBundle', 'value':'${caBundle}'}]"

Importante

Los certificados firmados por Kubernetes tienen una caducidad de un año. Para obtener más información, consulte el código fuente de Kubernetes en GitHub.

Validar la inyección de metadatos.

Para validar que el webhook (responsable de inyectar los metadatos) se instaló correctamente, despliegue un nuevo pod y verifique las variables de entorno New Relic .

Cree un pod nginx ficticio ejecutando:

bash

$kubectl run test-nginx --image nginx -n newrelic

Compruebe si se inyectaron variables de entorno de New Relic:

bash

$kubectl exec -n newrelic test-nginx -- env | grep NEW_RELIC_METADATA_KUBERNETES

El resultado esperado sería algo como lo siguiente:

NEW_RELIC_METADATA_KUBERNETES_CLUSTER_NAME=THE_CLUSTER_NAME
NEW_RELIC_METADATA_KUBERNETES_NODE_NAME=nodea
NEW_RELIC_METADATA_KUBERNETES_NAMESPACE_NAME=newrelic
NEW_RELIC_METADATA_KUBERNETES_POD_NAME=test-nginx
NEW_RELIC_METADATA_KUBERNETES_CONTAINER_NAME=nginx

Deshabilitar la inyección de metadatos

Para deshabilitar/desinstalar la inyección de metadatos, cambie su archivo values-newrelic.yaml de la siguiente manera:

webhook:
  enabled: false

Y vuelva a ejecutar el comando de instalación.

Resolución de problemas

Siga estos consejos de resolución de problemas según sea necesario.

Problema

La creación del secreto por parte del trabajo k8s-webhook-cert-manager solía fallar debido a la versión kubectl utilizada por la imagen cuando se ejecuta en Kubernetes versión 1.19.x. La nueva versión 1.3.2 soluciona este problema, por lo tanto, basta con ejecutar nuevamente el trabajo usando una versión actualizada de la imagen para solucionar el problema.

Solución

Actualice la imagen k8s-webhook-cert-manager (a una versión >= 1.3.2) y vuelva a ejecutar el trabajo.
El secreto se creará correctamente y el pod k8s-metadata-injection podrá iniciarse.
Tenga en cuenta que la nueva versión del manifiesto y del nri-bundle ya están actualizadas con la versión correcta de la imagen.

Problema

No hay metadatos Kubernetes incluidos en el atributo de transacción de su agente APM o en el rastreo distribuido.

Solución

Verifique que las variables de entorno se estén inyectando correctamente siguiendo las instrucciones descritas en el paso Validar su instalación .
Si no están presentes, obtenga el nombre del pod de inyección de metadatos ejecutando:
bash
```
$kubectl get pods | grep newrelic-metadata-injection-deployment
$kubectl logs -f pod/my-pod
```

En otra terminal, cree un nuevo pod (por ejemplo, consulte Validar su instalación) e inspeccione el registro de metadatos de inyección desplegable en busca de errores. Por cada pod creado debería haber un conjunto de 4 entradas nuevas en el registro como:

{"level":"info","ts":"2020-04-09T12:55:32.107Z","caller":"server/main.go:139","msg":"POST https://newrelic-metadata-injection-svc.default.svc:443/mutate?timeout=30s HTTP/2.0\" from 10.11.49.2:32836"}
{"level":"info","ts":"2020-04-09T12:55:32.110Z","caller":"server/webhook.go:168","msg":"received admission review","kind":"/v1, Kind=Pod","namespace":"default","name":"","pod":"busybox1","UID":"6577519b-7a61-11ea-965e-0e46d1c9335c","operation":"CREATE","userinfo":{"username":"admin","uid":"admin","groups":["system:masters","system:authenticated"]}}
{"level":"info","ts":"2020-04-09T12:55:32.111Z","caller":"server/webhook.go:182","msg":"admission response created","response":"[{\"op\":\"add\",\"path\":\"/spec/containers/0/env\",\"value\":[{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_CLUSTER_NAME\",\"value\":\"adn_kops\"}]},{\"op\":\"add\",\"path\":\"/spec/containers/0/env/-\",\"value\":{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_NODE_NAME\",\"valueFrom\":{\"fieldRef\":{\"fieldPath\":\"spec.nodeName\"}}}},{\"op\":\"add\",\"path\":\"/spec/containers/0/env/-\",\"value\":{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_NAMESPACE_NAME\",\"valueFrom\":{\"fieldRef\":{\"fieldPath\":\"metadata.namespace\"}}}},{\"op\":\"add\",\"path\":\"/spec/containers/0/env/-\",\"value\":{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_POD_NAME\",\"valueFrom\":{\"fieldRef\":{\"fieldPath\":\"metadata.name\"}}}},{\"op\":\"add\",\"path\":\"/spec/containers/0/env/-\",\"value\":{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_CONTAINER_NAME\",\"value\":\"busybox\"}},{\"op\":\"add\",\"path\":\"/spec/containers/0/env/-\",\"value\":{\"name\":\"NEW_RELIC_METADATA_KUBERNETES_CONTAINER_IMAGE_NAME\",\"value\":\"busybox\"}}]"}
{"level":"info","ts":"2020-04-09T12:55:32.111Z","caller":"server/webhook.go:257","msg":"writing response"}

Si no hay nuevas entradas en el registro, significa que el apiserver no puede comunicarse con el servicio webhook, esto podría deberse a reglas de red o grupos de seguridad que rechazan la comunicación.

Para comprobar si el apiserver no puede comunicarse con el webhook, debe inspeccionar el registro del apiserver en busca de errores como:
```
failed calling webhook "metadata-injection.newrelic.com": THE_ERROR_REASON
```
Para obtener el registro de apiserver:
1. Inicie un proxy para el servidor API de Kubernetes ejecutando el siguiente comando en una ventana de terminal y manténgalo funcionando.
  bash
```
$kubectl proxy --port=8001
```
2. Cree un nuevo pod en su clúster, esto hará que el apiserver intente comunicarse con el webhook. El siguiente comando creará una casilla ocupada.
  bash
```
$kubectl create -f https://git.io/vPieo
```
3. Recupere el registro de apiserver.
  bash
```
$curl localhost:8001/logs/kube-apiserver.log > apiserver.log
```
4. Elimine el contenedor de BusyBox.
  bash
```
$kubectl delete -f https://git.io/vPieo
```
5. Inspeccione el registro en busca de errores.
  bash
```
$grep -E 'failed calling webhook' apiserver.log
```
  Sugerencia
  Uno de los requisitos para la inyección de metadatos es que al apiserver se le debe permitir la salida al pod que se ejecuta en el clúster. Si encuentra errores relacionados con tiempos de espera de conexión o conexiones fallidas, asegúrese de verificar los grupos de seguridad y las reglas de firewall del clúster.
Si no hay entradas log ni en el registro del apiserver ni en los metadatos de inyección desplegable, significa que el webhook no se registró correctamente.
Asegúrese de que el trabajo de configuración de inyección de metadatos se haya ejecutado correctamente inspeccionando el resultado de:
bash
```
$kubectl get job newrelic-metadata-setup
```
Si el trabajo no se completa, investigue el registro del trabajo de configuración:
bash
```
$kubectl logs job/newrelic-metadata-setup
```
Asegúrese de que CertificateSigningRequest esté aprobado y emitido ejecutando:
bash
```
$kubectl get csr newrelic-metadata-injection-svc.default
```
Asegúrese de que el secreto TLS esté presente ejecutando:
bash
```
$kubectl get secret newrelic-metadata-injection-secret
```
Asegúrese de que el paquete de CA esté presente en la configuración del webhook mutante:
bash
```
$kubectl get mutatingwebhookconfiguration newrelic-metadata-injection-cfg -o json
```

Asegúrese de que el TargetPort del recurso Service coincida con el Port del contenedor de Deployment:

bash

$kubectl describe service/newrelic-metadata-injection-svc
$kubectl describe deployment/newrelic-metadata-injection-deployment

Te ofrecemos esta traducción automática para facilitar la lectura.

Vincular la aplicación instrumentada APMa Kubernetes

Sugerencia

Compatibilidad y requisitos

Requisitos de red

APM compatibilidad del agente

Configurar la inyección de metadatos

Configuración personalizada

Limitar el espacio de nombres sujeto a inyección

Utilice cert-manager para generar certificados

Administrar certificados personalizados

Sugerencia

Importante

Validar la inyección de metadatos.

Deshabilitar la inyección de metadatos

Resolución de problemas

No hay metadatos Kubernetes en APM o rastreo distribuido transacción

Problema

Solución

No hay metadatos Kubernetes en el atributo de transacción

Problema

Solución

Sugerencia

Te ofrecemos esta traducción automática para facilitar la lectura.

Vincular la aplicación instrumentada APMa Kubernetes

Sugerencia

Compatibilidad y requisitos .css-21sua1{background:none;border:none;width:0;padding:0;}

Requisitos de red

APM compatibilidad del agente

Configurar la inyección de metadatos

Configuración personalizada

Limitar el espacio de nombres sujeto a inyección

Utilice cert-manager para generar certificados

Administrar certificados personalizados

Sugerencia

Importante

Validar la inyección de metadatos.

Deshabilitar la inyección de metadatos

Resolución de problemas

No hay metadatos Kubernetes en el atributo de transacción

Compatibilidad y requisitos