Visão geral
O Google Distributed Cloud oferece suporte à geração de registros de auditoria no nível da API do Cloud e do cluster do Kubernetes. Neste documento, você encontra informações sobre a geração de registros de auditoria de clusters do Kubernetes. Para mais informações sobre a geração de registros de auditoria de APIs do Cloud, consulte esta página.
O Google Distributed Cloud usa a geração de registros de auditoria do Kubernetes, que mantém um registro cronológico das chamadas feitas ao servidor da API Kubernetes de um cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas e coletar estatísticas.
Em um projeto do Google Cloud, é possível configurar um cluster para gravar registros de auditoria no disco ou em registros de auditoria do Cloud. A gravação em registros de auditoria do Cloud tem vários benefícios em relação à gravação em disco ou até mesmo à captura de registros em um sistema de geração de registros no local:
- Os registros de auditoria de todos os clusters do GKE podem ser centralizados.
- As entradas de registro gravadas nos registros de auditoria do Cloud são imutáveis.
- As entradas de registros de auditoria do Cloud são mantidas por 400 dias.
- Os registros de auditoria do Cloud estão incluídos no preço do Anthos.
Geração de registros de auditoria baseada em disco
Por padrão, os registros de auditoria são gravados em um disco permanente para que as reinicializações e upgrades de VMs não façam com que os registros desapareçam. O GKE no VMware retém até 12 GB de entradas de registro de auditoria.
Registros de auditoria do Cloud
Se você ativar os Registros de auditoria do Cloud para um cluster, as entradas de registro de auditoria
da atividade do administrador do servidor da API Kubernetes do cluster serão enviadas ao Google Cloud,
usando o projeto do Google Cloud especificado no
campo cloudAuditLogging.projectID
do arquivo de configuração do cluster.
Esse projeto do Google Cloud é chamado de
projeto de registro de auditoria.
O projeto de registro de auditoria precisa ser igual ao projeto host da frota.
Para armazenar em buffer e gravar entradas de registro nos Registros de auditoria do Cloud,
o GKE no VMware implanta um pod audit-proxy
no cluster de administrador.
Esse pod também está disponível como um contêiner de arquivo secundário nos clusters do usuário.
Limitações
A versão atual dos Registros de auditoria do Cloud para o Google Distributed Cloud tem várias limitações:
A geração de registros de acesso a dados (solicitações get, list e watch) não é compatível.
Não é possível modificar a política de auditoria do Kubernetes.
Os registros de auditoria do Cloud não são resilientes a interrupções de rede estendidas. Se as entradas de registro não puderem ser exportadas para o Google Cloud, elas serão armazenadas em um buffer de disco de 10G. Se esse buffer for preenchido, as entradas subsequentes serão descartadas.
Ativar a API Anthos Audit
Ative a API Anthos Audit no projeto de geração de registros de auditoria.
Criar uma conta de serviço para Registros de auditoria do Cloud
Você já tem uma ou mais contas de serviço criadas para usar com o Google Distributed Cloud. Para esse recurso, é necessário criar uma conta de serviço adicional chamada conta de serviço da geração de registros de auditoria.
Crie sua conta de serviço de registro de auditoria:
gcloud iam service-accounts create audit-logging-service-account
Crie um arquivo de chave JSON para sua conta de serviço dos registros de auditoria do Cloud:
gcloud iam service-accounts keys create audit-logging-key.json \ --iam-account AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL
em que AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL é o endereço de e-mail da sua conta de serviço.
Salve
audit-logging-key.json
na estação de trabalho do administrador no mesmo local que as outras chaves da conta de serviço.
Criar um cluster de administrador com os Registros de auditoria do Cloud ativados
Você só pode ativar os Registros de auditoria do Cloud para um cluster de administrador depois de criar o cluster de administrador. Não é possível modificar um cluster de administrador existente para ativar os Registros de auditoria do Cloud.
Consulte Como criar um cluster de administrador.
No arquivo de configuração do cluster de usuário, preencha a seção
cloudAuditLogging
.Defina
cloudAuditLogging.projectID
como o ID do projeto de geração de registros de auditoria.Defina
cloudAuditLogging.clusterLocation
como uma região do Google Cloud em que você quer armazenar registros de auditoria. Para melhorar a latência, escolha uma região próxima ao data center local.Defina
cloudAuditLogging.serviceAccountKeyPath
como o caminho do arquivo da chave JSON para a conta de serviço de geração de registros de auditoria.
Exemplo:
cloudAuditLogging: projectID: "my-project" clusterLocation: "us-west1" serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continue a criação do cluster normalmente.
Criar um cluster de usuário com registros de auditoria do Cloud ativados
Consulte Como criar um cluster de usuário.
No arquivo de configuração do cluster de usuário, preencha a seção
cloudAuditLogging
.Defina
cloudAuditLogging.projectID
como o ID do projeto de geração de registros de auditoria.Defina
cloudAuditLogging.clusterLocation
como uma região do Google Cloud em que você quer armazenar registros de auditoria. Para melhorar a latência, escolha uma região próxima ao data center local.Defina
cloudAuditLogging.serviceAccounKeyPath
como o caminho do arquivo de chave JSON para sua conta de serviço dos registros de auditoria do Cloud.Verifique se a seção
gkeConnect
está preenchida e segkeConnect.projectID
é igual acloudAuditLogging.projectID
.
Exemplo:
gkeConnect: projectID: "my-project" registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json" cloudAuditLogging: projectID: "my-project" clusterLocation: "us-west1" serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continue a criação do cluster normalmente.
Ativar os registros de auditoria do Cloud para um cluster de usuário existente
Os Registros de auditoria do Cloud só podem ser ativados no projeto do Google Cloud em que o cluster de usuário está registrado.
Se um cluster de usuário existente não estiver registrado, registre-o seguindo estas etapas antes de ativar os registros de auditoria do Cloud:
Adicione uma seção
gkeConnect
ao arquivo de configuração do cluster de usuário. Exemplo:gkeConnect: projectID: "my-project" registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"
Atualize o cluster:
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Depois que o cluster de usuário for registrado, siga estas etapas para ativar os registros de auditoria do Cloud:
Preencha a seção
cloudAuditLogging
do arquivo de configuração do cluster de usuário. Consulte Criar um cluster de usuário com os registros de auditoria do Cloud ativados para ver detalhes sobre os campos individuais. OprojectID
na seçãocloudAuditLogging
precisa ser igual ao da seçãogkeConnect
.Atualize o cluster:
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Desativar registros de auditoria do Cloud para um cluster de usuário existente
No arquivo de configuração do cluster de usuário, exclua a seção
cloudAuditLogging
.Atualize o cluster de usuário:
gkectl update cluster --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] --config [USER_CLUSTER_CONFIG]
Acessar registros de auditoria
Geração de registros de auditoria baseada em disco
É possível encontrar os registros de auditoria do cluster de administração nos
nós do plano de controle em /var/log/kube-audit/kube-apiserver-audit.log
. Os
registros de auditoria do cluster do usuário estão no
PersistentVolumeClaim
chamado kube-audit-kube-apiserver-0
. Acesse esses dados nos seus próprios pods por meio de entradas volumes
:
Adicione esta entrada para o cluster de administrador:
volumes: - name: kube-audit hostPath: path: /var/log/kube-audit type: ""
Adicione esta entrada para o cluster de usuários:
volumes: - name: kube-audit persistentVolumeClaim: claimName: kube-audit-kube-apiserver-0
Para programar seu pod no nó apropriado do cluster de administrador (e somente neste
nó), você precisará adicionar seções nodeSelector
e tolerations
à
especificação do pod, como esta:
spec: nodeSelector: node-role.kubernetes.io/master: '' tolerations: - key: node-role.kubernetes.io/master value: "" effect: NoSchedule
Para o cluster de usuário, defina namespace
como o nome do cluster de usuário e, em seguida, defina
nodeName
como o mesmo que kube-apiserver-0
:
spec: nodeName: NODE_NAME
Para apontar o nodeName
de kube-apiserver-0
, execute o seguinte comando:
kubectl get pod kube-apiserver-0 -n USER_CLUSTER_NAME --kubeconfig kubeconfig -o jsonpath='{.spec.nodeName}'
O nome de arquivo de cada registro de auditoria tem um carimbo de data/hora que indica quando o arquivo foi alternado. Cada arquivo inclui registros de auditoria até esse horário e data.
Registros de auditoria do Cloud
Console
No console do Google Cloud, acesse a página Registros no menu Logging.
Na caixa Filtrar por rótulo ou pesquisa de texto, logo acima dos menus suspensos discutidos anteriormente, clique na seta para baixo para abrir o menu suspenso. No menu, escolha Converter para filtro avançado.
Preencha a caixa de texto com o filtro a seguir:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"
Clique em Enviar filtro para exibir todos os registros de auditoria dos clusters do GKE no VMware que foram configurados para fazer login no projeto.
gcloud
Liste as duas primeiras entradas no registro de atividade do administrador do projeto que se aplicam ao tipo de recurso k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \ AND resource.type="k8s_cluster" \ AND protoPayload.serviceName="anthosgke.googleapis.com" ' \ --limit 2 \ --freshness 300d
PROJECT_ID é o ID do projeto.
A saída mostra duas entradas de registro. Observe que, para cada entrada de registro, o
campo logName
tem o valor
projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
,
e protoPayload.serviceName
é igual a anthosgke.googleapis.com
.
Política de auditoria
O comportamento dos Registros de auditoria do Cloud é determinado por uma política de registro de auditoria do Kubernetes configurada estaticamente. No momento, não é possível alterar essa política, mas ela estará disponível em uma versão futura.