Registro de auditoría

Descripción general

GKE On-Prem usa el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes a la API sospechosas y recopilar estadísticas.

Antes de Anthos 1.2, GKE On-Prem escribía registros de auditoría solo en el disco. Anthos 1.2 presenta una función Alfa que permite escribir registros de auditoría en los registros de auditoría de Cloud en un proyecto de Google Cloud. Escribir en los registros de auditoría de Cloud tiene varios beneficios en comparación con escribir en el disco o incluso capturar registros en un sistema de registro local:

  • Los registros de auditoría para todos los clústeres de Anthos se pueden centralizar.
  • Las entradas de registro escritas en los registros de auditoría de Cloud son inmutables.
  • Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
  • Los registros de auditoría de Cloud se incluyen en el precio de Anthos.

Puedes configurar GKE On-prem para escribir registros en el disco o en los registros de auditoría de Cloud.

Registro de auditoría basado en discos

De forma predeterminada, los registros de auditoría en GKE On-prem se escriben en un disco persistente para que los reinicios y las actualizaciones de las VM no causen la desaparición de los registros. GKE On-prem conserva hasta 10 GB de entradas de registro de auditoría.

Registros de auditoría de Cloud

Si los registros de auditoría de Cloud están habilitados, las entradas del registro de auditoría de actividad de administrador de todos los servidores de la API de Kubernetes se envían a Google Cloud con el proyecto y la ubicación que especifiques cuando crees un clúster de usuario.

GKE On-Prem implementa un Pod audit-proxy en los clústeres de administrador y de usuario. Este Pod almacena en búfer y escribe entradas de registro en los registros de auditoría de Cloud.

Limitaciones

Los registros de auditoría de Cloud para GKE On-Prem es una función Alfa. Esta versión Alfa tiene varias limitaciones:

  • Solo puedes configurar los registros de auditoría de Cloud durante la creación del clúster de usuario. Es decir, debes crear un clúster de usuario nuevo.

  • No se admite el registro de acceso a los datos.

  • No se admite la modificación de la política de auditoría de Kubernetes.

Estas limitaciones se abordarán en versiones futuras.

Habilita la API de clústeres de Anthos

Para usar Registros de auditoría de Cloud con GKE On-Prem, debes habilitar la API de clústeres de Anthos.

Habilitar la API de clústeres de Anthos

Crea una cuenta de servicio para el registro de auditoría

Ya tienes varias cuentas de servicio que creaste para usar con GKE On-Prem. Para esta función alfa, debes crear una cuenta de servicio adicional y, luego, incluirla en la lista de anunciantes permitidos.

  1. Crea la cuenta de servicio de los registros de auditoría de Cloud:

    gcloud iam service-accounts create audit-logging-service-account
  2. Crea un archivo de claves JSON para la cuenta de servicio de los registros de auditoría de Cloud:

    gcloud iam service-accounts keys create audit-logging-key.json \
       --iam-account [Cloud Audit Logs_SERVICE_ACCOUNT_EMAIL]
    

    En el ejemplo anterior, [Cloud Audit Logs_SERVICE_ACCOUNT_EMAIL] es la dirección de correo electrónico de la cuenta de servicio de los registros de auditoría de Cloud.

  3. Guarda audit-logging-key.json en la estación de trabajo de administrador en la misma ubicación que tus otras claves de cuenta de servicio.

Incluye la cuenta de servicio en la lista de anunciantes permitidos

A fin de solicitar que se incluya tu cuenta de servicio de registros de auditoría de Cloud en la lista de anunciantes permitidos, completa el formulario alfa de los registros de auditoría de Cloud para GKE On-Prem. Tu cuenta de servicio debe estar incluida en la lista de anunciantes permitidos antes de crear un clúster de usuario que habilite los registros de auditoría de Cloud.

Crea un clúster de usuario con los registros de auditoría de Cloud habilitados

  1. Si aún no creaste un clúster de administrador, sigue los pasos que se indican en Instala mediante direcciones IP estáticas o Instala mediante DHCP para crear clústeres de administrador y de usuario nuevos.

    Si ya tienes un clúster de administrador, sigue las instrucciones en Crea clústeres de usuario adicionales para crear uno nuevo.

  2. Después de ejecutar gkectl create-config, completa el archivo de configuración como de costumbre, pero también completa la sección nueva cloudauditlogging en usercluster.

  3. Establece cloudauditlogging.projectid en el ID del proyecto de Google Cloud en el que deseas ver los registros de auditoría que pertenecen al clúster de usuario.

  4. Establece cloudauditloggijg.clusterlocation en una región de Google Cloud en la que quieras almacenar los registros de auditoría. Te recomendamos que elijas una región cercana a tu centro de datos local.

  5. Establece cloudauditlogging.serviceaccountkeypath en la ruta de acceso del archivo de claves JSON de la cuenta de servicio de los registros de auditoría de Cloud.

Por ejemplo:

cloudauditlogging:
  projectid: "my-project"
  clusterlocation: "us-west1"
  serviceaccountkeypath: "/my-key-folder/audit-logging-key.json"

Continúa con la creación del clúster como de costumbre.

Accede a los registros de auditoría de GKE On-prem

Registro de auditoría basado en discos

  1. Visualiza los servidores de la API de Kubernetes que se ejecutan en tu clúster de administrador y todos sus clústeres de usuario asociados:

    kubectl --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] get pods --all-namespaces -l component=kube-apiserver
    

    En el ejemplo anterior, [ADMIN_CLUSTER_KUBECONFIG] es el archivo kubeconfig de tu clúster de administrador.

  2. Descarga los registros de auditoría del servidor de la API:

    kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
    

    Con este comando, se recupera el archivo de registro más reciente, que puede contener hasta 1 GB de datos del clúster de administrador y hasta 850 GB de los clústeres de usuario.

    Los registros de auditoría anteriores se guardan en archivos diferentes. Para ver esos archivos, haz lo siguiente:

    kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
    

    El nombre de archivo de cada registro de auditoría tiene una marca de tiempo que indica cuándo se rotó el archivo. Un archivo contiene registros de auditoría hasta esa hora y fecha.

Registros de auditoría de Cloud

Console

  1. En la consola de Google Cloud, ve a la página Registros en el menú de Logging.

    Ir al Explorador de registros.

  2. En el cuadro Filtrar por búsqueda de texto o etiqueta, arriba de los menús desplegables mencionados antes, haz clic en la flecha hacia abajo para abrir el menú desplegable. En el menú, selecciona Convertir a filtro avanzado.

  3. Completa el cuadro de texto con el siguiente filtro:

    resource.type="k8s_cluster"
    logName="projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity"
    protoPayload.serviceName="anthosgke.googleapis.com"
    
  4. Haz clic en Enviar filtro a fin de mostrar todos los registros de auditoría de los clústeres de GKE On-prem que se configuraron para acceder a este proyecto.

gcloud

Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

En el ejemplo anterior, [PROJECT_ID] es el ID del proyecto.

Los resultados muestran dos entradas de registro. Ten en cuenta que para cada entrada de registro, el campo logName tiene el valor projects/[PROJECT_ID]/logs/externalaudit.googleapis.com%2Factivity, y protoPayload.serviceName es igual a anthosgke.googleapis.com.

Política de auditorías

El comportamiento del registro de auditoría se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. Por el momento, no se admite el cambio de esta política, pero estará disponible en una versión futura.