このページでは、Google Distributed Cloud(GDC)エアギャップ アプライアンス デバイスの中央ログサーバーを、Google Distributed Cloud エアギャップ データセンター組織を介して設定する方法について説明します。
一元的なロギングの場所を作成するには、GDC アプライアンスに GDC データセンター組織に次のコンポーネントが必要です。
- ユニーク プロジェクト
- 監査ログのバケット
- オペレーション ログのバケット
プロジェクトを作成する
次の手順は、ログがエクスポートされる GDC データセンター組織で実行する必要があります。
KUBECONFIGを組織管理 API に設定します。export KUBECONFIG=ORG_MANAGEMENT_API_KUBECONFIG_PATHログのエクスポートに必要な権限を取得するには、組織の IAM 管理者に ClusterRole プロジェクト作成者(
ClusterRole project-creator)ロールの付与を依頼してください。これらのロールの詳細については、IAM 権限を準備するをご覧ください。プロジェクト カスタム リソースを適用して、ログがエクスポートされる GDC アプライアンスの一意のプロジェクトを作成します。
kubectl apply -f - <<EOF apiVersion: resourcemanager.gdc.goog/v1 kind: Project metadata: namespace: platform name: APPLIANCE_PROJECT_NAME labels: object.gdc.goog/tenant-category: user EOF新しいプロジェクトが GDC アプライアンスで使用可能かどうかを確認します。
kubectl get namespace APPLIANCE_PROJECT_NAME新しいプロジェクトを請求先アカウントにリンクします。プロジェクトのリソース費用を追跡するには、プロジェクトにリンクされた関連する請求先アカウントが必要です。
ログをエクスポートするために必要な権限を取得するには、組織の IAM 管理者に、名前空間
APPLIANCE_PROJECT_NAMEでプロジェクト IAM 管理者(project-iam-admin)ロールを付与するよう依頼してください。
バケットの作成
次の手順は、ログのエクスポート先の GDC データセンター組織のプラットフォーム管理者(PA)が実行する必要があります。
KUBECONFIGを組織管理 API に設定します。export KUBECONFIG=ORG_MANAGEMENT_API_KUBECONFIG_PATHログのエクスポートに必要な権限を取得するには、組織の IAM 管理者に、名前空間
APPLIANCE_PROJECT_NAMEでプロジェクト バケット管理者(project-bucket-admin)ロールを付与するよう依頼してください。バケット カスタム リソースを適用してバケットを作成します。
apiVersion: object.gdc.goog/v1 kind: Bucket metadata: name: BUCKET_NAME namespace: APPLIANCE_PROJECT_NAME labels: object.gdc.goog/bucket-type: normal object.gdc.goog/encryption-version: v2 object.gdc.goog/tenant-category: user spec: description: Bucket for storing appliance xyz audit logs location: zone1 storageClass: Standardバケットを作成したら、次のコマンドを実行してバケットの詳細を確認します。
kubectl describe buckets BUCKET_NAME -n APPLIANCE_PROJECT_NAMEバケット内のオブジェクトにアクセスするための
ProjectServiceAccountを作成します。kubectl apply -f - <<EOF --- apiVersion: resourcemanager.gdc.goog/v1 kind: ProjectServiceAccount metadata: name: BUCKET_NAME-read-write-sa namespace: APPLIANCE_PROJECT_NAME spec: {} EOFProjectServiceAccountが伝播されていることを確認します。kubectl get projectserviceaccount BUCKET_NAME-read-write-sa -n APPLIANCE_PROJECT_NAME -o json | jq '.status'ServiceAccountにread権限とwrite権限がバケットに追加されていることを確認します。kubectl apply -f - <<EOF --- apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: BUCKET_NAME-read-write-role namespace: APPLIANCE_PROJECT_NAME rules: - apiGroups: - object.gdc.goog resourceNames: - BUCKET_NAME resources: - buckets verbs: - read-object - write-object --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: BUCKET_NAME-read-write-rolebinding namespace: APPLIANCE_PROJECT_NAME roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: BUCKET_NAME-read-write-role subjects: - kind: ServiceAccount name: BUCKET_NAME-read-write-sa namespace: APPLIANCE_PROJECT_NAME EOFバケットのアクセス認証情報を含むシークレットを取得します。
kubectl get secret -n APPLIANCE_PROJECT_NAME -o json| jq --arg jq_src BUCKET_NAME-read-write-sa '.items[].metadata|select(.annotations."object.gdc.goog/subject"==$jq_src)|.name'出力は次の例のようになります。ここで、バケットのシークレット名が表示されます。
"object-storage-key-sysstd-sa-olxv4dnwrwul4bshu37ikebgovrnvl773owaw3arx225rfi56swa"値を変数にエクスポートします。
export BUCKET_RW_SECRET_NAME=BUCKET_RW_SECRET_NAMEバケット アクセスのキー ID を取得します。
kubectl get secret $BUCKET_RW_SECRET_NAME -n appliance-xyz -o json | jq -r '.data."access-key-id"' | base64 -di出力は次の例のようになります。
PCEW2HU47Y8ACUWQO4SKバケットのシークレット アクセスキーを取得します。
kubectl get secret $BUCKET_RW_SECRET_NAME -n appliance-xyz -o json | jq -r '.data."secret-access-key"' | base64 -di出力は次の例のようになります。
TzGdAbgp4h2i5UeiYa9k09rNPFQ2tkYADs67+65Eバケットのエンドポイントを取得します。
kubectl get bucket BUCKET_NAME -n APPLIANCE_PROJECT_NAME -o json | jq '.status.endpoint'出力は次の例のようになります。
https://objectstorage.org-1.zone1.google.gdch.testバケットの完全修飾名を取得します。
kubectl get bucket BUCKET_NAME -n APPLIANCE_PROJECT_NAME -o json | jq '.status.fullyQualifiedName'出力は次の例のようになります。
aaaoa9a-logs-bucket
GDC からデータを転送する
ログをリモート バケットにエクスポートするの手順に沿って、バケットのエンドポイント、完全修飾名、アクセスキー ID、シークレット アクセスキーを使用して、GDC アプライアンスから GDC エアギャップ データセンターで以前に作成したバケットにログを転送します。
Google Distributed Cloud のエアギャップ データセンターで Loki と Grafana を設定する
次の手順は、ログがエクスポートされた GDC エアギャップ データセンター組織のインフラストラクチャ オペレーター(IO)が実行する必要があります。
IAM ロールを取得する
ログをエクスポートするために必要な権限を取得するには、組織の IAM 管理者に、インフラストラクチャ クラスタの namespace obs-system でログ復元管理者(logs-restore-admin)ロールを付与し、管理プレーンの namespace obs-system でデータソース閲覧者(datasource-viewer)ロールとデータソース編集者(datasource-editor)ロールを付与するよう依頼してください。
Loki を設定する
KUBECONFIGを組織のインフラストラクチャ クラスタに設定します。export KUBECONFIG=ORG_INFRA_CLUSTER_KUBECONFIG_PATHPA からアプライアンス ログバケットのアクセスキー ID とシークレット アクセスキーを取得し、
obs-systemNamespace に認証情報を含むシークレットを作成します。kubectl create secret generic -n obs-system APPLIANCE_LOGS_BUCKET_SECRET_NAME --from-literal=access-key-id=APPLIANCE_LOGS_BUCKET_ACCESS_KEY_ID --from-literal=secret-access-key=APPLIANCE_LOGS_BUCKET_SECRET_ACCESS_KEYPA からアプライアンス ログバケットのエンドポイントと完全修飾名を取得し、Loki
configmapを作成します。kubectl apply -f - <<EOF --- apiVersion: v1 kind: ConfigMap metadata: name: CONFIGMAP_NAME namespace: obs-system data: loki.yaml: |- auth_enabled: true common: ring: kvstore: store: inmemory compactor: working_directory: /data/loki/compactor compaction_interval: 10m retention_enabled: true retention_delete_delay: 2h retention_delete_worker_count: 150 delete_request_store: s3 ingester: chunk_target_size: 1572864 chunk_encoding: snappy max_chunk_age: 2h chunk_idle_period: 90m chunk_retain_period: 30s autoforget_unhealthy: true lifecycler: ring: kvstore: store: inmemory replication_factor: 1 heartbeat_timeout: 10m wal: enabled: false limits_config: discover_service_name: [] retention_period: 48h reject_old_samples: false ingestion_rate_mb: 256 ingestion_burst_size_mb: 256 max_streams_per_user: 20000 max_global_streams_per_user: 20000 max_line_size: 0 per_stream_rate_limit: 256MB per_stream_rate_limit_burst: 256MB shard_streams: enabled: false desired_rate: 3MB schema_config: configs: - from: "2020-10-24" index: period: 24h prefix: index_ object_store: s3 schema: v13 store: tsdb server: http_listen_port: 3100 grpc_server_max_recv_msg_size: 104857600 grpc_server_max_send_msg_size: 104857600 graceful_shutdown_timeout: 60s analytics: reporting_enabled: false storage_config: tsdb_shipper: active_index_directory: /tsdb/index cache_location: /tsdb/index-cache cache_ttl: 24h aws: endpoint: APPLIANCE_LOGS_BUCKET_ENDPOINT bucketnames: APPLIANCE_LOGS_BUCKET_FULLY_QUALIFIED_NAME access_key_id: ${S3_ACCESS_KEY_ID} secret_access_key: ${S3_SECRET_ACCESS_KEY} s3forcepathstyle: true --- EOFLoki
statefulsetと Service を作成します。kubectl apply -f - <<EOF --- apiVersion: apps/v1 kind: StatefulSet metadata: labels: app: STATEFULSET_NAME name: STATEFULSET_NAME namespace: obs-system spec: persistentVolumeClaimRetentionPolicy: whenDeleted: Retain whenScaled: Retain podManagementPolicy: OrderedReady replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: app: STATEFULSET_NAME serviceName: STATEFULSET_NAME template: metadata: labels: app: STATEFULSET_NAME istio.io/rev: default spec: affinity: nodeAffinity: preferredDuringSchedulingIgnoredDuringExecution: - preference: matchExpressions: - key: node-role.kubernetes.io/control-plane operator: DoesNotExist - key: node-role.kubernetes.io/master operator: DoesNotExist weight: 1 podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: - podAffinityTerm: labelSelector: matchExpressions: - key: app operator: In values: - STATEFULSET_NAME topologyKey: kubernetes.io/hostname weight: 100 containers: - args: - -config.file=/etc/loki/loki.yaml - -config.expand-env=true - -target=all env: - name: S3_ACCESS_KEY_ID valueFrom: secretKeyRef: key: access-key-ID name: APPLIANCE_LOGS_BUCKET_SECRET_NAME optional: false - name: S3_SECRET_ACCESS_KEY valueFrom: secretKeyRef: key: secret-access-key name: APPLIANCE_LOGS_BUCKET_SECRET_NAME optional: false image: gcr.io/private-cloud-staging/loki:v3.0.1-gke.1 imagePullPolicy: Always livenessProbe: failureThreshold: 3 httpGet: path: /ready port: loki-server scheme: HTTP initialDelaySeconds: 330 periodSeconds: 10 successThreshold: 1 timeoutSeconds: 1 name: STATEFULSET_NAME ports: - containerPort: 3100 name: loki-server protocol: TCP - containerPort: 7946 name: gossip-ring protocol: TCP readinessProbe: failureThreshold: 3 httpGet: path: /ready port: loki-server scheme: HTTP initialDelaySeconds: 45 periodSeconds: 10 successThreshold: 1 timeoutSeconds: 1 resources: limits: ephemeral-storage: 2000Mi memory: 8000Mi requests: cpu: 300m ephemeral-storage: 2000Mi memory: 1000Mi securityContext: readOnlyRootFilesystem: true terminationMessagePath: /dev/termination-log terminationMessagePolicy: File volumeMounts: - mountPath: /etc/loki name: config - mountPath: /data name: loki-storage - mountPath: /tsdb name: loki-tsdb-storage - mountPath: /tmp name: temp - mountPath: /tmp/loki/rules-temp name: tmprulepath - mountPath: /etc/ssl/certs name: trust-bundle readOnly: true dnsPolicy: ClusterFirst restartPolicy: Always schedulerName: default-scheduler securityContext: fsGroup: 10001 runAsGroup: 10001 runAsUser: 10001 terminationGracePeriodSeconds: 4800 volumes: - emptyDir: {} name: temp - emptyDir: {} name: tmprulepath - configMap: defaultMode: 420 name: trust-store-root-ext optional: true name: trust-bundle - configMap: defaultMode: 420 name: CONFIGMAP_NAME name: config updateStrategy: type: RollingUpdate volumeClaimTemplates: - apiVersion: v1 kind: PersistentVolumeClaim metadata: creationTimestamp: null name: loki-storage spec: accessModes: - ReadWriteOnce resources: requests: storage: 5Gi storageClassName: standard-rwo volumeMode: Filesystem - apiVersion: v1 kind: PersistentVolumeClaim metadata: creationTimestamp: null name: loki-tsdb-storage spec: accessModes: - ReadWriteOnce resources: requests: storage: 5Gi storageClassName: standard-rwo volumeMode: Filesystem --- apiVersion: v1 kind: Service metadata: name: STATEFULSET_NAME namespace: obs-system spec: internalTrafficPolicy: Cluster ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - name: loki-server port: 3100 protocol: TCP targetPort: loki-server selector: app: STATEFULSET_NAME sessionAffinity: None type: ClusterIP --- EOF
Grafana を設定する DataSource
KUBECONFIGを組織管理 API に設定します。export KUBECONFIG=ORG_MANAGEMENT_API_KUBECONFIG_PATHインフラストラクチャ ログとプラットフォーム ログの
DataSourcesを作成します。kubectl apply -f - <<EOF --- apiVersion: monitoring.private.gdc.goog/v1alpha1 kind: Datasource metadata: name: INFRA_DATASOURCE_NAME namespace: APPLIANCE_PROJECT_NAME-obs-system spec: datasource: access: proxy isDefault: false jsonData: httpHeaderName1: X-Scope-OrgID name: UI_FRIENDLY_NAME orgId: 1 readOnly: true secureJsonData: httpHeaderValue1: infra-obs type: loki uid: INFRA_DATASOURCE_NAME url: http://STATEFULSET_NAME.obs-system.svc:3100 version: 1 withCredentials: false --- apiVersion: monitoring.private.gdc.goog/v1alpha1 kind: Datasource metadata: name: PLATFORM_DATASOURCE_NAME namespace: APPLIANCE_PROJECT_NAME-obs-system spec: datasource: access: proxy isDefault: false jsonData: httpHeaderName1: X-Scope-OrgID name: UI_FRIENDLY_NAME orgId: 1 readOnly: true secureJsonData: httpHeaderValue1: platform-obs type: loki uid: PLATFORM_DATASOURCE_NAME url: http://STATEFULSET_NAME.obs-system.svc:3100 version: 1 withCredentials: false --- EOF
Google Distributed Cloud エアギャップ データセンターの Grafana でログを表示する
Google Distributed Cloud のエアギャップ データセンター バケットにエクスポートされたログは、GDC アプライアンス プロジェクトの Grafana インスタンスで確認できます。