Cluster Anthos su VMware è ora Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Audit logging

Panoramica

Google Distributed Cloud supporta l'audit logging a livello di cluster Kubernetes e API Cloud. Questo documento fornisce informazioni sull'audit logging dei cluster Kubernetes. Per informazioni sull'audit logging dell'API Cloud, consulta Informazioni sull'audit logging dell'API Cloud.

Google Distributed Cloud utilizza l'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate al server API Kubernetes di un cluster. Gli audit log sono utili per indagare sulle richieste API sospette e per raccogliere statistiche.

Puoi configurare un cluster per scrivere audit log su disco o in Cloud Audit Logs in un progetto Google Cloud. La scrittura in Cloud Audit Logs offre diversi vantaggi rispetto alla scrittura su disco o persino all'acquisizione dei log in un sistema di logging on-premise:

Gli audit log per tutti i cluster GKE possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
Cloud Audit Logs è incluso nel prezzo di Anthos.

Audit logging basato su disco

Per impostazione predefinita, gli audit log vengono scritti su un disco permanente, in modo che i riavvii e gli upgrade delle VM non causino la scomparsa dei log. GKE on VMware conserva fino a 12 GB di voci di audit log.

Cloud Audit Logs

Se abiliti Cloud Audit Logs per un cluster, le voci degli audit log per l'attività di amministrazione provenienti dal server API Kubernetes del cluster vengono inviate a Google Cloud, utilizzando il progetto Google Cloud da te specificato nel campo cloudAuditLogging.projectID del file di configurazione del cluster. Questo progetto Google Cloud è chiamato progetto di audit logging.

Il progetto di audit logging deve essere uguale al progetto host del parco risorse.

Per inserire nel buffer e scrivere voci di log in Cloud Audit Logs, GKE on VMware esegue il deployment di un pod audit-proxy nel cluster di amministrazione. Questo componente è disponibile anche come container collaterale sui cluster utente.

Limitazioni

L'attuale versione di Cloud Audit Logs per Google Distributed Cloud presenta diverse limitazioni:

Il logging dell'accesso ai dati (get, list, watch) non è supportato.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni di rete estese. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco da 10 GB. Se il buffer si riempie, le voci successive vengono eliminate.

Abilita l'API Anthos Audit

Abilitare l'API Anthos Audit nel progetto di audit logging.

Abilita l'API Anthos Audit

Crea un account di servizio per Cloud Audit Logs

Hai già uno o più account di servizio creati per l'utilizzo con Google Distributed Cloud. Per questa funzionalità, devi creare un account di servizio aggiuntivo chiamato account di servizio di audit logging.

Crea l'account di servizio per l'audit logging:

gcloud iam service-accounts create audit-logging-service-account

Crea un file di chiave JSON per il tuo account di servizio Cloud Audit Logs:
```
gcloud iam service-accounts keys create audit-logging-key.json \
   --iam-account AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL
```
dove AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL è l'indirizzo email del tuo account di servizio.
Salva audit-logging-key.json sulla workstation di amministrazione nella stessa posizione delle altre chiavi dell'account di servizio.

Crea un cluster di amministrazione con Cloud Audit Logs abilitato

Puoi abilitare Cloud Audit Logs per un cluster di amministrazione solo quando crei il cluster di amministrazione per la prima volta. Non puoi modificare un cluster di amministrazione esistente per abilitare Cloud Audit Logs.

Fai riferimento a Creazione di un cluster di amministrazione.
Nel file di configurazione del cluster di amministrazione, compila la sezione cloudAuditLogging.
Imposta cloudAuditLogging.projectID sull'ID del progetto di audit logging.
Imposta cloudAuditLogging.clusterLocation sulla regione Google Cloud in cui vuoi archiviare gli audit log. Per migliorare la latenza, scegli una regione vicina al tuo data center on-premise.
Imposta cloudAuditLogging.serviceAccountKeyPath sul percorso del file di chiavi JSON per il tuo account di servizio di audit logging.

Ad esempio:

cloudAuditLogging:
  projectID: "my-project"
  clusterLocation: "us-west1"
  serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"

Continua la creazione del cluster come di consueto.

Crea un cluster utente con Cloud Audit Logs abilitato

Consulta Creazione di un cluster utente.
Nel file di configurazione del cluster utente, compila la sezione cloudAuditLogging.
Imposta cloudAuditLogging.projectID sull'ID del progetto di audit logging.
Imposta cloudAuditLogging.clusterLocation sulla regione Google Cloud in cui vuoi archiviare gli audit log. Per migliorare la latenza, scegli una regione vicina al tuo data center on-premise.
Imposta cloudAuditLogging.serviceAccounKeyPath sul percorso del file di chiavi JSON per il tuo account di servizio Cloud Audit Logs.
Assicurati che la sezione gkeConnect sia compilata e che gkeConnect.projectID sia uguale a cloudAuditLogging.projectID.

Ad esempio:

gkeConnect:
  projectID: "my-project"
  registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"

cloudAuditLogging:
  projectID: "my-project"
  clusterLocation: "us-west1"
  serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"

Continua la creazione del cluster come di consueto.

Abilita Cloud Audit Logs per un cluster utente esistente

Cloud Audit Logs può essere abilitato solo nel progetto Google Cloud in cui è registrato il cluster utente.

Se un cluster utente esistente non è registrato, registralo seguendo questi passaggi prima di abilitare Cloud Audit Logs:

Aggiungi una sezione gkeConnect al file di configurazione del cluster utente. Ad esempio:

gkeConnect:
  projectID: "my-project"
  registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"

Aggiorna il cluster:

gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Dopo aver registrato il cluster utente, segui questi passaggi per abilitare Cloud Audit Logs:

Compila la sezione cloudAuditLogging del file di configurazione del cluster utente. Per maggiori dettagli sui singoli campi, consulta Creare un cluster utente con Cloud Audit Logs abilitato. Il valore projectID nella sezione cloudAuditLogging deve essere uguale a quello nella sezione gkeConnect.

Aggiorna il cluster:

gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Disabilita Cloud Audit Logs per un cluster utente esistente

Nel file di configurazione del cluster utente, elimina la sezione cloudAuditLogging.
Aggiorna il cluster utente:

gkectl update cluster --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] --config [USER_CLUSTER_CONFIG]

Accedi agli audit log

Audit logging basato su disco

Puoi trovare gli audit log per il cluster di amministrazione sui nodi del piano di controllo in /var/log/kube-audit/kube-apiserver-audit.log. Gli audit log per il cluster utente si trovano nell'oggetto PersistentVolumeClaim denominato kube-audit-kube-apiserver-0. Puoi accedere a questi dati all'interno dei tuoi pod tramite le voci volumes:

Aggiungi questa voce per il cluster di amministrazione:

    volumes:
    - name: kube-audit
      hostPath:
        path: /var/log/kube-audit
        type: ""

Aggiungi questa voce per il cluster utente:

    volumes:
    - name: kube-audit
      persistentVolumeClaim:
        claimName: kube-audit-kube-apiserver-0

Per pianificare il pod sul nodo appropriato del cluster di amministrazione (e solo su questo nodo), devi aggiungere le sezioni nodeSelector e tolerations alle specifiche del pod, in questo modo:

    spec:
      nodeSelector:
        node-role.kubernetes.io/master: ''
      tolerations:
      - key: node-role.kubernetes.io/master
        value: ""
        effect: NoSchedule

Per il cluster utente, imposta namespace come nome del cluster utente, quindi imposta nodeName sullo stesso valore di kube-apiserver-0:

   spec:
     nodeName: NODE_NAME

Per segnalare nodeName di kube-apiserver-0, esegui questo comando:

kubectl get pod kube-apiserver-0 -n USER_CLUSTER_NAME --kubeconfig kubeconfig -o jsonpath='{.spec.nodeName}'

Il nome file di ogni audit log ha un timestamp che indica quando il file è stato ruotato. Un file contiene i log di controllo fino a quella data e ora.

Cloud Audit Logs

Console

Nella console Google Cloud, vai alla pagina Log nel menu Logging.

Vai alla pagina Log
Nella casella Filtra per etichetta o testo, subito sopra i menu a discesa trattati in precedenza, fai clic sulla Freccia giù per aprire il menu a discesa. Dal menu, scegli Converti in filtro avanzato.

Compila la casella di testo con il seguente filtro:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

Fai clic su Invia filtro per visualizzare tutti gli audit log dei cluster GKE su VMware configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci di log nel log dell'Log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

dove PROJECT_ID è l'ID progetto.

L'output mostra due voci di log. Tieni presente che per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

Il comportamento di Cloud Audit Logs è determinato da un criterio di audit logging di Kubernetes configurato in modo statico. La modifica di questo criterio non è attualmente supportata, ma sarà disponibile in una release futura.