Version 1.8. This version is supported as outlined in the Anthos version support policy, offering the latest patches and updates for security vulnerabilities, exposures, and issues impacting Anthos clusters on bare metal. For more details, see the release notes 1.8. This is the most recent version. For a complete list of each minor and patch release in chronological order, see the combined release notes.

Available versions: 1.8  |   1.7  |   1.6

Habilita el registro de auditoría.

Descripción general

En este documento, se describe cómo habilitar y usar los registros de auditoría de Cloud para clústeres de Anthos en un equipo físico. Los clústeres de Anthos en equipos físicos usan el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes a la API sospechosas y recopilar estadísticas.

Si los registros de auditoría de Cloud están habilitados, se escriben en Cloud Audit Logging en tu proyecto de Google Cloud. Escribir en los registros de auditoría de Cloud tiene varios beneficios en comparación con escribir en el disco o incluso capturar registros en un sistema de registro local:

  • Los registros de auditoría para todos los clústeres de Anthos se pueden centralizar.
  • Las entradas de registro escritas en los registros de auditoría de Cloud son inmutables.
  • Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
  • Los registros de auditoría de Cloud se incluyen en el precio de Anthos.
  • Puedes configurar clústeres de Anthos en el equipo físico para escribir registros en el disco o en los registros de auditoría de Cloud.

Registro de auditoría basado en discos

De forma predeterminada, los registros de auditoría de los clústeres de Anthos alojados en VMware se escriben en un disco persistente para que la VM se reinicie y las actualizaciones no generen la desaparición de los registros. Los clústeres de Anthos en Bare Metal retienen hasta 1 GB de entradas de registro de auditoría.

Puedes acceder a los registros de auditoría basados en discos si accedes a los nodos del plano de control. Los registros se encuentran en el directorio /var/log/apiserver/.

Registros de auditoría de Cloud

Si los registros de auditoría de Cloud están habilitados, las entradas del registro de auditoría de actividad de administrador de todos los servidores de la API de Kubernetes se envían a Google Cloud con el proyecto y la ubicación que especifiques cuando crees un clúster de usuario. Para almacenar en búfer y escribir entradas de registro en los registros de auditoría de Cloud, los clústeres de Anthos alojados en VMware implementan un pod audit-proxy en el clúster de administrador. Este pod también está disponible como un contenedor de archivo adicional en los clústeres de usuarios.

Limitaciones

Los registros de auditoría de Cloud para los clústeres de Anthos en equipos físicos son una función de vista previa y tienen las siguientes limitaciones:

  • No se admite el registro de acceso a los datos.
  • No se admite la modificación de la política de auditoría de Kubernetes.
  • Los registros de auditoría de Cloud no es resiliente a las interrupciones de red ampliada. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenan en caché en un búfer de disco de 10 G. Si se completa ese búfer, se descartan las entradas posteriores.
  • Los registros de auditoría de Cloud se pueden habilitar solo cuando se crean clústeres nuevos de la versión 1.8.0. La habilitación de Cloud Audit Logging en clústeres existentes a través de la actualización no es compatible con la vista previa de la función.

Crea una cuenta de servicio para los registros de auditoría de Cloud

Para poder habilitar Cloud Logging y Cloud Monitoring con clústeres de Anthos en un equipo sin sistema operativo, primero debes configurar lo siguiente:

  1. Crea un lugar de trabajo de Cloud Monitoring dentro del proyecto de Google Cloud, si todavía no tienes uno.

    Esto se hace en Cloud Console. Haz clic en el siguiente botón y sigue el flujo de trabajo.

    Ir a Monitoring

  2. Haz clic en los siguientes botones para habilitar las API requeridas:

    Habilita la API de auditoría de Anthos

    Habilita la API de Stackdriver

    Habilita la API de Monitoring

    Habilita la API de Logging

  3. Asigna las siguientes funciones de IAM a la cuenta de servicio que usan los agentes de Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Habilita Cloud Audit Logging cuando creas un clúster

Para usar los registros de auditoría de Cloud con clústeres de Anthos en equipos físicos, sigue las instrucciones normales de creación del clúster, pero edita la siguiente configuración del archivo de configuración del clúster antes de ejecutar bmctl create cluster:

  1. Quita los comentarios del campo disableCloudAuditLogging en el archivo de configuración del clúster y asegúrate de que esté configurado como false, como se muestra en el siguiente ejemplo:

    ...
    clusterOperations:
        # Cloud project for logs and metrics.
        projectID: <GCP project ID>
        # Cloud location for logs and metrics.
        location: us-central1
        # Enable Cloud Audit Logging if uncommented and set to false.
        disableCloudAuditLogging: false
    ...
    

    El resto del proceso de creación del clúster es el mismo. Para obtener más información y vínculos a instrucciones, consulta Descripción general de la creación de clústeres.

Accede a los registros de auditoría de Cloud

Console

  1. En Cloud Console, ve a la página Registros en el menú de Logging.

    Ir a la página Registros

  2. En el cuadro Filtrar por búsqueda de texto o etiqueta, arriba de los menús desplegables mencionados antes, haz clic en la flecha hacia abajo para abrir el menú desplegable. En el menú, selecciona Convertir a filtro avanzado.

  3. Completa el cuadro de texto con el siguiente filtro:

    resource.type="k8s_cluster"
    logName="projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity"
    protoPayload.serviceName="anthosgke.googleapis.com"
    

    Reemplaza [PROJECT_ID] con el ID del proyecto.

  4. Haz clic en Enviar filtro para mostrar todos los registros de auditoría de los clústeres de Anthos alojados en VMware que se configuraron para acceder a este proyecto.

gcloud

Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Reemplaza [PROJECT_ID] con el ID del proyecto.

Los resultados muestran dos entradas de registro. Ten en cuenta que para cada entrada de registro, el campo logName tiene el valor projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity, y protoPayload.serviceName es igual a anthosgke.googleapis.com.

Política de auditoría

El comportamiento de los registros de auditoría de Cloud se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. Por el momento, no se admite el cambio de esta política, pero estará disponible en una versión futura.