Usar a geração de registros de auditoria do Kubernetes

Neste documento, descrevemos como usar os Registros de auditoria do Cloud para o Google Distributed Cloud. O Google Distributed Cloud usa a geração de registros de auditoria do Kubernetes, que mantém um registro cronológico das chamadas feitas ao servidor da API Kubernetes de um cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas e coletar estatísticas. Para informações sobre a geração de registros de auditoria da API GKE On-Prem, consulte Geração de registros de auditoria da API Cloud.

Sobre os registros de auditoria do Cloud

Os registros de auditoria são gravados nos Registros de auditoria do Cloud no projeto do Google Cloud. A gravação em registros de auditoria do Cloud tem vários benefícios em relação à gravação em disco ou à captura de registros em um sistema de geração de registros no local:

  • Os registros de auditoria de todos os clusters do GKE podem ser centralizados.
  • As entradas de registro gravadas nos registros de auditoria do Cloud são imutáveis.
  • As entradas de registros de auditoria do Cloud são mantidas por 400 dias.
  • O recurso Registros de auditoria do Cloud está incluído no preço do Google Distributed Cloud.
  • É possível configurar o Google Distributed Cloud para gravar registros no disco ou nos registros de auditoria do Cloud.

Geração de registros de auditoria baseada em disco

Se os registros de auditoria do Cloud forem desativados explicitamente, os registros de auditoria no Google Distributed Cloud serão gravados em um disco permanente para que as reinicializações e upgrades do cluster não façam com que os registros desapareçam. O Google Distributed Cloud mantém até 1 GiB de entradas de registro de auditoria.

Acesse os registros de auditoria baseados em disco fazendo login nos nós do plano de controle. Os registros estão localizados no diretório /var/log/apiserver/.

Registros de auditoria do Cloud

As entradas de registro de auditoria de atividade do administrador de todos os servidores da API Kubernetes são enviadas ao Google Cloud, usando o projeto e o local que você especifica ao criar um cluster de usuário. Para armazenar em buffer e gravar entradas de registro nos Registros de auditoria do Cloud, o Google Distributed Cloud implanta um conjunto daemon audit-proxy que é executado nos nós do plano de controle.

Limitações

Os Registros de auditoria do Cloud para o Google Distributed Cloud têm as seguintes limitações:

  • A geração de registros de acesso a dados não é compatível.
  • Não é possível modificar a política de auditoria do Kubernetes.
  • Os registros de auditoria do Cloud não são resilientes a interrupções de rede estendidas. Se não for possível exportar as entradas de registro para o Google Cloud, elas serão armazenadas em cache em um buffer de disco de 10 GiB. Se esse buffer for preenchido, as entradas mais antigas serão descartadas.

Como criar uma conta de serviço para Registros de auditoria do Cloud

Antes de usar o Cloud Logging e o Cloud Monitoring com o Google Distributed Cloud, é preciso configurar o seguinte:

  1. Crie um espaço de trabalho do Cloud Monitoring no projeto do Google Cloud, se você ainda não tiver um.

    No console do Google Cloud, clique no botão a seguir e siga o fluxo de trabalho.

    Acessar Monitoring

  2. Clique nos botões a seguir para ativar as APIs necessárias:

    Ative a API Anthos Audit.

    Ativar a API Stackdriver

    Ativar a API Monitoring

    Ativar a API Logging

  3. Atribua os papéis do IAM à conta de serviço usada pelos agentes do Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Como acessar os registros de auditoria do Cloud

Console

  1. No console do Google Cloud, acesse a página Explorador de registros no menu Logging.

    Acesse o Explorador de registros

    Se a página Visualizador de registros legado abrir, escolha Fazer upgrade para o novo Explorador de registros no menu suspenso Fazer upgrade.

  2. Clique em Consulta para acessar o campo e enviar consultas.

  3. Preencha o campo com a seguinte consulta:

    resource.type="k8s_cluster"
    logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    protoPayload.serviceName="anthosgke.googleapis.com"
    

    Substitua PROJECT_ID pela ID do seu projeto.

  4. Clique em Executar consulta para exibir todos os registros de auditoria dos clusters do Google Distributed Cloud que foram configurados para fazer login no projeto.

gcloud

Liste as duas primeiras entradas no registro de atividade do administrador do projeto que se aplicam ao tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Substitua PROJECT_ID pela ID do seu projeto.

A saída mostra duas entradas de registro. Observe que, para cada entrada de registro, o campo logName tem o valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity, e protoPayload.serviceName é igual a anthosgke.googleapis.com.

Política de auditoria

A política de auditoria do Kubernetes define regras para quais eventos são gravados como entradas de registro e especifica quais dados as entradas de registro precisam incluir. Não é possível alterar essa política para modificar o comportamento dos Registros de auditoria do Cloud.