ログをリモートバケットにエクスポートする

このページでは、ストレージ転送ツールを使用して、Google Distributed Cloud（GDC）エアギャップ アプライアンスの監査ログと運用ログをリモート バケットにエクスポートする方法について説明します。

IAM ロールを取得する

ログのエクスポートに必要な権限を取得するには、組織の IAM 管理者に、インフラストラクチャ クラスタの obs-system 名前空間に対するログ転送管理者（logs-transfer-admin）ロールと、管理プレーンの obs-system 名前空間に対するログバケット閲覧者（logs-bucket-viewer)）ロールの付与を依頼してください。

これらのロールの詳細については、IAM 権限を準備するをご覧ください。

ソースバケットのエンドポイントと完全修飾名を取得する

1. KUBECONFIG を組織管理 API に設定します。

   export KUBECONFIG=MANAGEMENT_API_KUBECONFIG_PATH
   

2. ソースバケットのエンドポイントを取得します。

   • 監査ログの場合:

     kubectl get bucket audit-logs-loki-all -n obs-system -o json | jq '.status.endpoint'
     

   • オペレーション ログの場合:

     kubectl get bucket ops-logs-loki-all -n obs-system -o json | jq '.status.endpoint'
     

3. ソースバケットの完全修飾名を取得します。

   • 監査ログの場合:

     kubectl get bucket audit-logs-loki-all -n obs-system -o json | jq '.status.fullyQualifiedName'
     

   • オペレーション ログの場合:

     kubectl get bucket ops-logs-loki-all -n obs-system -o json | jq '.status.fullyQualifiedName'
     

ソースバケットのアクセス認証情報を取得する

1. KUBECONFIG を組織のインフラストラクチャ クラスタに設定します。

     export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG_PATH
   

2. ソースバケットのアクセスキー ID を取得します。

   • 監査ログの場合:

     kubectl get secret audit-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."access-key-id"' | base64 -di
     

   • オペレーション ログの場合:

     kubectl get secret ops-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."access-key-id"' | base64 -di
     

3. ソースバケットのシークレット アクセスキーを取得します。

   • 監査ログの場合:

     kubectl get secret audit-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."secret-access-key"' | base64 -di
     

   • オペレーション ログの場合:

     kubectl get secret ops-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."secret-access-key"' | base64 -di
     

転送ログ

1. KUBECONFIG を組織のインフラストラクチャ クラスタに設定します。

   export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG_PATH
   

2. ソースバケットのアクセス認証情報を使用してシークレットを作成します。

   kubectl create secret generic -n obs-system SRC_BUCKET_SECRET_NAME
   --from-literal=access-key-id=SRC_BUCKET_ACCESS_KEY_ID
   --from-literal=secret-access-key=SRC_BUCKET_SECRET_ACCESS_KEY
   

3. 移行先バケットのアクセス認証情報を使用してシークレットを作成します。

   kubectl create secret generic -n obs-system DST_BUCKET_SECRET_NAME 
   --from-literal=access-key-id=DST_BUCKET_ACCESS_KEY_ID   
   --from-literal=secret-access-key=DST_BUCKET_SECRET_ACCESS_KEY
   

4. 宛先バケットのエンドポイントを認証するための認証局を使用してシークレットを作成します。

   kubectl create secret generic -n obs-system DST_BUCKET_CA_SECRET_NAME 
   --from-file="ca.crt"=CA_FILE
   

5. ログ転送ジョブを作成します。

   apiVersion: batch/v1
   kind: Job
   metadata:
     name: JOB_NAME
     namespace: obs-system
   spec:
     template:
       spec:
         serviceAccountName: logs-transfer-sa
         containers:
           - name: storage-transfer-pod
             image: gcr.io/private-cloud-staging/storage-transfer:latest
             imagePullPolicy: Always
             command:
               - /storage-transfer
             args:
               - '--src_endpoint=SRC_BUCKET_ENDPOINT'
               - '--dst_endpoint=DST_BUCKET_ENDPOINT'
               - '--src_path=SRC_BUCKET_FULLY_QUALIFIED_NAME'
               - '--dst_path=DST_BUCKET_FULLY_QUALIFIED_NAME'
               - '--src_credentials=obs-system/SRC_BUCKET_SECRET_NAME'
               - '--dst_credentials=obs-system/DST_BUCKET_SECRET_NAME'
               - '--dst_ca_certificate_reference=obs-system/DST_BUCKET_CA_SECRET_NAME'
               - '--src_ca_certificate_reference=obs-system/trust-store-root-ext'
               - '--src_type=s3'
               - '--dst_type=s3'
               - '--bandwidth_limit=1G'
         restartPolicy: OnFailure.
   ---
   

6. 転送ジョブが完了するまで待ちます。

   kubectl wait --for=condition=complete job/JOB_NAME -n obs-system