将日志导出到远程存储桶

本页介绍如何使用存储空间转移工具将 Google Distributed Cloud (GDC) 气隙设备中的审核日志和操作日志导出到远程存储桶。

获取 IAM 角色

如需获得导出日志所需的权限,请让您的组织 IAM 管理员为您授予以下角色:基础架构集群中 obs-system 命名空间的 Logs Transfer Admin (logs-transfer-admin) 角色,以及管理平面中 obs-system 命名空间的 Logs Bucket Viewer (logs-bucket-viewer)) 角色。

如需详细了解这些角色,请参阅准备 IAM 权限

获取源存储桶的端点和完全限定名称

  1. KUBECONFIG 设置为组织管理 API:

    export KUBECONFIG=MANAGEMENT_API_KUBECONFIG_PATH

  2. 获取源存储桶的端点:

    • 对于审核日志:

      kubectl get bucket audit-logs-loki-all -n obs-system -o json | jq '.status.endpoint'

    • 对于运维日志:

      kubectl get bucket ops-logs-loki-all -n obs-system -o json | jq '.status.endpoint'

  3. 获取源存储桶的完全限定名称:

    • 对于审核日志:

      kubectl get bucket audit-logs-loki-all -n obs-system -o json | jq '.status.fullyQualifiedName'

    • 对于运维日志:

      kubectl get bucket ops-logs-loki-all -n obs-system -o json | jq '.status.fullyQualifiedName'

获取源存储桶的访问凭据

  1. 将 KUBECONFIG 设置为组织基础架构集群:

      export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG_PATH

  2. 获取源存储桶的访问密钥 ID:

    • 对于审核日志:

      kubectl get secret audit-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."access-key-id"' | base64 -di

    • 对于运维日志:

      kubectl get secret ops-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."access-key-id"' | base64 -di

  3. 获取源存储桶的私有访问密钥:

    • 对于审核日志:

      kubectl get secret audit-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."secret-access-key"' | base64 -di

    • 对于运维日志:

      kubectl get secret ops-logs-loki-all-s3-auth -n obs-system -o json | jq -r '.data."secret-access-key"' | base64 -di

转移日志

  1. KUBECONFIG 设置为组织基础架构集群:

    export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG_PATH

  2. 创建包含源存储桶访问凭据的 Secret:

    kubectl create secret generic -n obs-system SRC_BUCKET_SECRET_NAME
--from-literal=access-key-id=SRC_BUCKET_ACCESS_KEY_ID
--from-literal=secret-access-key=SRC_BUCKET_SECRET_ACCESS_KEY

  3. 使用目标存储桶的访问凭据创建 Secret:

    kubectl create secret generic -n obs-system DST_BUCKET_SECRET_NAME 
--from-literal=access-key-id=DST_BUCKET_ACCESS_KEY_ID   
--from-literal=secret-access-key=DST_BUCKET_SECRET_ACCESS_KEY

  4. 创建包含证书授权机构的 Secret,用于对目标存储桶的端点进行身份验证:

    kubectl create secret generic -n obs-system DST_BUCKET_CA_SECRET_NAME 
--from-file="ca.crt"=CA_FILE

  5. 创建日志转移作业:

    apiVersion: batch/v1
kind: Job
metadata:
  name: JOB_NAME
  namespace: obs-system
spec:
  template:
    spec:
      serviceAccountName: logs-transfer-sa
      containers:
        - name: storage-transfer-pod
          image: gcr.io/private-cloud-staging/storage-transfer:latest
          imagePullPolicy: Always
          command:
            - /storage-transfer
          args:
            - '--src_endpoint=SRC_BUCKET_ENDPOINT'
            - '--dst_endpoint=DST_BUCKET_ENDPOINT'
            - '--src_path=SRC_BUCKET_FULLY_QUALIFIED_NAME'
            - '--dst_path=DST_BUCKET_FULLY_QUALIFIED_NAME'
            - '--src_credentials=obs-system/SRC_BUCKET_SECRET_NAME'
            - '--dst_credentials=obs-system/DST_BUCKET_SECRET_NAME'
            - '--dst_ca_certificate_reference=obs-system/DST_BUCKET_CA_SECRET_NAME'
            - '--src_ca_certificate_reference=obs-system/trust-store-root-ext'
            - '--src_type=s3'
            - '--dst_type=s3'
            - '--bandwidth_limit=1G'
      restartPolicy: OnFailure.
---

  6. 等待转移作业完成:

    kubectl wait --for=condition=complete job/JOB_NAME -n obs-system