Présentation
Google Distributed Cloud est compatible avec la journalisation d'audit au niveau de l'API Cloud et du cluster Kubernetes. Ce document fournit des informations sur la journalisation d'audit des clusters Kubernetes. Pour en savoir plus sur les journaux d'audit des API Cloud, consultez la page Informations sur les journaux d'audit des API Cloud.
Google Distributed Cloud utilise la journalisation d'audit Kubernetes, qui conserve un enregistrement chronologique des appels passés au serveur d'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes et collecter des statistiques.
Vous pouvez configurer un cluster pour écrire des journaux d'audit sur disque ou dans Cloud Audit Logs dans un projet Google Cloud. Écrire dans Cloud Audit Logging présente plusieurs avantages par rapport à l'écriture sur disque, voire à la capture de journaux dans un système de journalisation sur site :
- Les journaux d'audit de tous les clusters GKE peuvent être centralisés.
- Les entrées de journal écrites dans Cloud Audit Logging sont immuables.
- Les entrées Cloud Audit Logging sont conservées pendant 400 jours.
- Cloud Audit Logging est inclus dans le prix d'Anthos.
Journaux d'audit sur disque
Par défaut, les journaux d'audit sont écrits sur un disque persistant, de sorte que les redémarrages et les mises à niveau de la VM n'entraînent pas leur disparition. GKE sur VMware conserve jusqu'à 12 Go d'entrées de journal d'audit.
Cloud Audit Logs
Si vous activez Cloud Audit Logs pour un cluster, les entrées du journal d'audit des activités d'administration provenant du serveur d'API Kubernetes du cluster sont envoyées à Google Cloud, à l'aide du projet Google Cloud que vous spécifiez dans le champ cloudAuditLogging.projectID
du fichier de configuration du cluster.
Ce projet Google Cloud est appelé projet de journalisation d'audit.
Votre projet de journalisation d'audit doit être identique au projet hôte de parc.
Pour mettre en mémoire tampon et écrire des entrées de journal dans Cloud Audit Logs, GKE sur VMware déploie un pod audit-proxy
sur le cluster d'administrateur.
Ce composant est également disponible en tant que conteneur side-car sur les clusters d'utilisateur.
Limites
La version actuelle de Cloud Audit Logs pour Google Distributed Cloud présente plusieurs limites:
La journalisation des accès aux données (get, list, watch) n'est pas prise en charge.
La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
Cloud Audit Logging n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Go. Si ce tampon est plein, les entrées suivantes sont ignorées.
Activer l'API Anthos Audit
Activez l'API Anthos Audit dans votre projet de journalisation d'audit.
Créer un compte de service pour Cloud Audit Logs
Vous possédez déjà un ou plusieurs comptes de service que vous avez créés pour les utiliser avec Google Distributed Cloud. Pour cette fonctionnalité, vous devez créer un compte de service supplémentaire appelé compte de service de journalisation d'audit.
Créez votre compte de service de journalisation d'audit :
gcloud iam service-accounts create audit-logging-service-account
Créez un fichier de clé JSON pour votre compte de service Cloud Audit Logging :
gcloud iam service-accounts keys create audit-logging-key.json \ --iam-account AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL
où AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL est l'adresse e-mail de votre compte de service.
Enregistrez
audit-logging-key.json
sur le poste de travail administrateur au même emplacement que les autres clés de votre compte de service.
Créer un cluster d'administrateur avec Cloud Audit Logs activé
Vous ne pouvez activer Cloud Audit Logs pour un cluster d'administrateur que lors de la création du cluster. Vous ne pouvez pas modifier un cluster d'administrateur existant pour activer Cloud Audit Logs.
Consultez la section Créer un cluster d'administrateur.
Dans votre fichier de configuration de cluster d'utilisateur, remplissez la section
cloudAuditLogging
.Définissez
cloudAuditLogging.projectID
sur l'ID de votre projet de journalisation d'audit.Définissez
cloudAuditLogging.clusterLocation
sur la région Google Cloud où vous souhaitez stocker les journaux d'audit. Pour une latence optimale, choisissez une région proche de votre centre de données sur site.Définissez
cloudAuditLogging.serviceAccountKeyPath
sur le chemin d'accès du fichier de clé JSON pour votre compte de service de journalisation d'audit.
Exemple :
cloudAuditLogging: projectID: "my-project" clusterLocation: "us-west1" serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continuez de créer le cluster comme d'habitude.
Créer un cluster d'utilisateur avec Cloud Audit Logs activé
Consultez la section Créer un cluster d'utilisateur.
Dans votre fichier de configuration de cluster d'utilisateur, remplissez la section
cloudAuditLogging
.Définissez
cloudAuditLogging.projectID
sur l'ID de votre projet de journalisation d'audit.Définissez
cloudAuditLogging.clusterLocation
sur la région Google Cloud où vous souhaitez stocker les journaux d'audit. Pour une latence optimale, choisissez une région proche de votre centre de données sur site.Définissez
cloudAuditLogging.serviceAccounKeyPath
sur le chemin d'accès du fichier de clé JSON de votre compte de service Cloud Audit Logging.Assurez-vous que la section
gkeConnect
est renseignée et que la valeur degkeConnect.projectID
est identique àcloudAuditLogging.projectID
.
Exemple :
gkeConnect: projectID: "my-project" registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json" cloudAuditLogging: projectID: "my-project" clusterLocation: "us-west1" serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continuez de créer le cluster comme d'habitude.
Activer Cloud Audit Logs pour un cluster d'utilisateur existant
Cloud Audit Logs ne peut être activé que dans le projet Google Cloud dans lequel le cluster d'utilisateur est enregistré.
Si un cluster d'utilisateur existant n'est pas enregistré, enregistrez-le en procédant comme suit avant d'activer Cloud Audit Logs :
Ajoutez une section
gkeConnect
au fichier de configuration du cluster d'utilisateur. Exemple :gkeConnect: projectID: "my-project" registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"
Mettez à jour le cluster :
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Une fois le cluster d'utilisateur enregistré, procédez comme suit pour activer Cloud Audit Logs :
Remplissez la section
cloudAuditLogging
du fichier de configuration de votre cluster d'utilisateur. Consultez la section Créer un cluster utilisateur avec Cloud Audit Logs activé pour en savoir plus sur les champs individuels. L'élémentprojectID
de la sectioncloudAuditLogging
doit être identique à celui de la sectiongkeConnect
.Mettez à jour le cluster :
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Désactiver Cloud Audit Logs pour un cluster d'utilisateur existant
Dans le fichier de configuration du cluster d'utilisateur, supprimez la section
cloudAuditLogging
.Mettez à jour le cluster d'utilisateur :
gkectl update cluster --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] --config [USER_CLUSTER_CONFIG]
Accéder aux journaux d'audit
Journaux d'audit sur disque
Les journaux d'audit du cluster d'administrateur se trouvent sur les nœuds du plan de contrôle sous /var/log/kube-audit/kube-apiserver-audit.log
. Les journaux d'audit du cluster d'utilisateur se trouvent dans le projet PersistentVolumeClaim
nommé kube-audit-kube-apiserver-0
. Vous pouvez accéder à ces données dans vos propres pods via des entrées volumes
:
Ajoutez cette entrée pour le cluster d'administrateur:
volumes: - name: kube-audit hostPath: path: /var/log/kube-audit type: ""
Ajoutez cette entrée pour le cluster d'utilisateur:
volumes: - name: kube-audit persistentVolumeClaim: claimName: kube-audit-kube-apiserver-0
Pour planifier votre pod sur le nœud de cluster d'administrateur approprié (et uniquement sur ce nœud), vous devez ajouter les sections nodeSelector
et tolerations
à la spécification de votre pod, comme suit:
spec: nodeSelector: node-role.kubernetes.io/master: '' tolerations: - key: node-role.kubernetes.io/master value: "" effect: NoSchedule
Pour le cluster d'utilisateur, définissez namespace
comme nom de cluster d'utilisateur, puis définissez nodeName
sur le même nom que kube-apiserver-0
:
spec: nodeName: NODE_NAME
Pour indiquer le nodeName
de kube-apiserver-0
, exécutez la commande suivante:
kubectl get pod kube-apiserver-0 -n USER_CLUSTER_NAME --kubeconfig kubeconfig -o jsonpath='{.spec.nodeName}'
Le nom de fichier de chaque journal d'audit comporte un horodatage qui correspond à la rotation du fichier. Un fichier contient les journaux d'audit jusqu'à cette date et cette heure.
Cloud Audit Logging
Console
Dans la console Google Cloud, accédez à la page Journaux du menu Journalisation.
Dans la zone de recherche Filtrer par libellé ou texte recherché, juste au-dessus des menus déroulants décrits ci-dessus, cliquez sur la flèche vers le bas pour ouvrir le menu déroulant. Dans le menu, sélectionnez Convertir en filtre avancé.
Renseignez la zone de texte avec le filtre suivant :
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"
Cliquez sur Envoyer le filtre pour afficher tous les journaux d'audit des clusters GKE sur VMware qui ont été configurés pour se connecter à ce projet.
gcloud
Répertoriez les deux premières entrées du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \ AND resource.type="k8s_cluster" \ AND protoPayload.serviceName="anthosgke.googleapis.com" ' \ --limit 2 \ --freshness 300d
où PROJECT_ID correspond à l'ID de votre projet.
La sortie affiche deux entrées de journal. Notez que pour chaque entrée de journal, le champ logName
a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
et que protoPayload.serviceName
est égal à anthosgke.googleapis.com
.
Règle d'audit
Le comportement de Cloud Audit Logging est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. La modification de cette règle n'est pas possible pour le moment, mais elle sera disponible dans une version ultérieure.