Utilizzare l'audit logging di Kubernetes

Questo documento descrive come utilizzare Cloud Audit Logs per GKE su Bare Metal. GKE su Bare Metal utilizza l'audit logging di Kubernetes, che conserva un registro cronologico delle chiamate effettuate al server API Kubernetes di un cluster. Gli audit log sono utili per analizzare le richieste API sospette e per raccogliere statistiche. Per informazioni sull'audit logging per l'API GKE On-Prem, consulta Registrazione degli audit dell'API Cloud.

Informazioni su Cloud Audit Logs

Gli audit log sono scritti in Cloud Audit Logs nel tuo progetto Google Cloud. La scrittura su Cloud Audit Logs presenta diversi vantaggi rispetto alla scrittura su disco o all'acquisizione dei log in un sistema di logging on-premise:

  • Gli audit log per tutti i cluster GKE possono essere centralizzati.
  • Le voci di log scritte in Cloud Audit Logs sono immutabili.
  • Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
  • La funzionalità Cloud Audit Logs è inclusa nel prezzo di GDCV per Bare Metal.
  • Puoi configurare GKE su Bare Metal per scrivere log su disco o in Cloud Audit Logs.

Audit logging basato su disco

Se Cloud Audit Logs è disabilitato in modo esplicito, gli audit log in GKE su Bare Metal vengono scritti su un disco permanente in modo che il riavvio e gli upgrade del cluster non comportino la scomparsa dei log. GKE su Bare Metal conserva fino a 1 GiB di voci degli audit log.

Accedi agli audit log basati su disco eseguendo l'accesso ai Nodi del piano di controllo. I log si trovano nella directory /var/log/apiserver/.

Cloud Audit Logs

Le voci degli audit log dell'attività di amministrazione di tutti i server API Kubernetes vengono inviate a Google Cloud utilizzando il progetto e la località specificati al momento della creazione di un cluster utente. Per eseguire il buffer e scrivere voci di log in Cloud Audit Logs, GKE su Bare Metal esegue il deployment di un set di daemon audit-proxy in esecuzione sui nodi del piano di controllo.

Limitazioni

Cloud Audit Logs per GKE su Bare Metal presenta le seguenti limitazioni:

  • Il logging degli accessi ai dati non è supportato.
  • La modifica del criterio di controllo di Kubernetes non è supportata.
  • Cloud Audit Logs non è resiliente in caso di interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco di 10 GiB. Se il buffer si riempie, le voci meno recenti vengono eliminate.

Creazione di un account di servizio per Cloud Audit Logs

Prima di poter utilizzare Cloud Logging e Cloud Monitoring con GKE su Bare Metal, devi configurare quanto segue:

  1. Crea un'area di lavoro di Cloud Monitoring all'interno del progetto Google Cloud, se non ne hai già una.

    Nella console Google Cloud, fai clic sul pulsante seguente e segui il flusso di lavoro.

    Vai a Monitoring

  2. Fai clic sui seguenti pulsanti per abilitare le API richieste:

    Abilita l'API Anthos Audit

    Abilita l'API Stackdriver

    Abilita l'API Monitoring

    Abilita l'API Logging

  3. Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Accesso agli audit log di Cloud

Console

  1. Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.

    Vai a Esplora log

    Se viene visualizzata la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Upgrade.

  2. Fai clic su Query per accedere al campo per l'invio delle query.

  3. Compila il campo con la query seguente:

    resource.type="k8s_cluster"
    logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    protoPayload.serviceName="anthosgke.googleapis.com"
    

    Sostituisci PROJECT_ID con l'ID progetto.

  4. Fai clic su Esegui query per visualizzare tutti gli audit log di GKE su cluster Bare Metal configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Sostituisci PROJECT_ID con l'ID progetto.

L'output mostra due voci di log. Nota che, per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

Il criterio di controllo di Kubernetes definisce le regole per cui gli eventi vengono registrati come voci di log e specifica i dati che devono essere inclusi nelle voci di log. La modifica di questo criterio per modificare il comportamento di Cloud Audit Logs non è supportata.