Supervisa y depura cargas de trabajo

Cuando compilas, pruebas y ejecutas una carga de trabajo, puede ser útil supervisar su progreso para depurar problemas. Las siguientes herramientas están disponibles para la supervisión y la depuración:

• Cloud Logging: Como primer paso para solucionar problemas relacionados con una carga de trabajo de Confidential Space, puedes redireccionar STDOUT y STDERR a Cloud Logging y, luego, verificar si hay códigos de retorno de la carga de trabajo para ver dónde ocurrió una falla.

• La imagen de Confidential Space de depuración: La imagen de Confidential Space de depuración mantiene la Confidential VM ejecutando la carga de trabajo operativa después de que se completa la carga de trabajo y ejecuta un servidor SSH. Esto te permite acceder de forma remota a la VM para diagnosticar problemas. Es útil usar la imagen de depuración hasta que tengas la certeza de que tu código se comporta como debería. Cuando sea el momento de comenzar a trabajar con datos de producción sensibles, cambia a la imagen de Confidential Space de producción.

• Supervisión del uso de memoria: Puedes ver el uso de memoria de la carga de trabajo en Cloud Logging o en el Explorador de métricas. El autor de la carga de trabajo debe permitirlo y el operador de la carga de trabajo debe habilitarlo antes de que se haga un seguimiento del uso de la memoria.

• Shell interactiva: Después de usar SSH para conectarte a tu VM confidencial de la carga de trabajo, puedes usar el comando sudo ctr task exec -t --exec-id shell tee-container bash para ingresar a una shell interactiva dentro del contenedor y diagnosticar problemas de la carga de trabajo.

Logging

Al igual que cualquier programa de línea de comandos, la carga de trabajo STDOUT y STDERR se puede mostrar en la consola. El operador de la carga de trabajo también puede redireccionarlo a Cloud Logging si configura la clave de metadatos tee-container-log-redirect en true o cloud_logging en la VM de Confidential Space y se asegura de que la cuenta de servicio que ejecuta la carga de trabajo tenga el rol logging.logWriter.

El autor de la carga de trabajo puede evitar el redireccionamiento con la política de lanzamiento log_redirect.

Para reducir tu perfil de riesgo, registra la cantidad mínima de información y no registres información sensible.

Cómo ver los registros de Confidential Space

Si a la cuenta de servicio adjunta a la VM de Confidential Space se le otorgó el rol logging.logWriter y redireccionaste los registros a Cloud Logging, puedes solucionar los errores si consultas los registros de la VM:

1. Ve a Logging en el proyecto del operador de cargas de trabajo en la consola deGoogle Cloud .

   Ir a Logging

2. Junto a la pestaña Consulta, haz clic en el período para establecer el período de registro que deseas ver.

3. Filtra los registros por los siguientes campos de registro si están disponibles:

   • Tipo de recurso: Instancia de VM

   • ID de instancia: Es el ID de instancia de la Confidential VM.

   • Nombre del registro: confidential-space-launcher

4. Lee el mensaje de error para averiguar cuál es el problema. Es posible que un recurso no se haya configurado de forma correcta, que las condiciones del atributo en los proveedores de WIP de tus colaboradores de datos no coincidan con las reclamaciones que realiza la carga de trabajo de Confidential Space o que la carga de trabajo en sí haya tenido un error.

Códigos de retorno

Los códigos de retorno se muestran en la consola cuando se ejecutan el selector y la carga de trabajo, y se pueden redireccionar a Cloud Logging.

Los códigos de devolución se describen en la siguiente tabla:

Si falla una carga de trabajo, el operador de carga de trabajo solo recibe el mensaje workload finished with a non-zero return code, sin más contexto. En el caso de una imagen de producción, el selector se puede configurar para que se reinicie en caso de falla con tee-restart-policy=OnFailure.