Audit-Logereignisse an GKE weiterleiten

Ein Eventarc-Trigger deklariert Ihr Interesse an einem bestimmten Ereignis oder einer Reihe von Ereignissen. Sie können das Ereignisrouting konfigurieren. Legen Sie dazu Filter für den Trigger fest, einschließlich der Ereignisquelle und des Google Kubernetes Engine (GKE)-Zieldienstes, der in einem GKE-Cluster ausgeführt wird. Beachten Sie, dass Ziele nur Dienste enthalten können, die in (öffentlichen oder privaten) GKE-Clustern mit öffentlichen Endpunkten ausgeführt werden. Wenn Sie auf Dienste in GKE-Clustern mit privaten Endpunkten abzielen, leiten Sie Ereignisse an interne HTTP-Endpunkte weiter.

Eventarc liefert Ereignisse über eine HTTP-Anfrage an den Ereignisempfänger im CloudEvents-Format.

In dieser Anleitung erfahren Sie, wie Sie das Ereignisrouting zu Ihrem Cloud Run-Dienst konfigurieren, das ausgelöst wird, wenn ein Audit-Log erstellt wird, das den Filterkriterien des Triggers entspricht. Eine Liste der von Eventarc unterstützten Audit-Logereignisse, einschließlich der Werte serviceName und methodName, finden Sie unter Von Eventarc unterstützte Ereignistypen.

Weitere Informationen zum Erfassen von Ereignissen, die ausgelöst werden, wenn ein Audit-Log erstellt wird, das den Filterkriterien des Triggers entspricht, finden Sie unter Ereignisfilter für Cloud-Audit-Logs bestimmen.

Vorbereitung

Sie müssen Workload Identity Federation for GKE in dem GKE-Cluster aktivieren, in dem der Zieldienst ausgeführt wird. Workload Identity Federation for GKE ist für die ordnungsgemäße Einrichtung des Ereignis-Forwarders erforderlich und wird empfohlen, um aus den in GKE ausgeführten Anwendungen aufgrund seiner verbesserten Sicherheitseigenschaften und -verwaltung auf Google Cloud-Dienste zuzugreifen.

Architektur von Eventarc-Ereignissen für GKE-Ziele

Workload Identity Federation for GKE

In GKE ausgeführte Anwendungen benötigen möglicherweise Zugriff auf Google Cloud APIs. Mit Workload Identity Federation for GKE kann ein Kubernetes-Dienstkonto in Ihrem GKE-Cluster als IAM-Dienstkonto verwendet werden. Pods, die das konfigurierte Kubernetes-Dienstkonto verwenden, werden beim Zugriff auf Google Cloud APIs automatisch als IAM-Dienstkonto authentifiziert. Mit Workload Identity Federation for GKE können Sie jeder Anwendung in Ihrem Cluster separate, detaillierte Identitäten und Autorisierungen zuweisen. Beachten Sie, dass dem Dienstkonto des Eventarc-Triggers bestimmte Berechtigungen gewährt werden müssen. Dieses Dokument enthält die Schritte zum Erstellen eines Dienstkontos.

Weitere Informationen zum Aktivieren und Konfigurieren vonWorkload Identity Federation for GKE in Ihren GKE-Clustern finden Sie unter Workload Identity Federation for GKE verwenden.

Ereignis-Forwarder

Der Ereignis-Forwarder von Eventarc ruft neue Ereignisse aus Eventarc ab und leitet sie an das GKE-Ziel weiter. Diese Komponente fungiert als Vermittler zwischen der Pub/Sub-Transportebene und dem GKE-Dienst. Es funktioniert mit vorhandenen Diensten und unterstützt auch Signalisierungsdienste (einschließlich Dienste, die nicht außerhalb des vollständig verwalteten Clusters verfügbar sind), während die Einrichtung und Wartung vereinfacht wird. Damit Sie Ereignisse auf Netzwerkebene in einem GKE-Dienst empfangen können, müssen Sie den Dienst nicht für externen Traffic öffnen, da alle Ereignisse von einem Ursprung bereitgestellt werden, der sich im selben GKE-Cluster befindet.

Der Lebenszyklus des Ereignis-Forwarders wird von Eventarc verwaltet. Wenn Sie den Ereignis-Forwarder versehentlich löschen, wird diese Komponente von Eventarc wiederhergestellt.

Für jeden Trigger, der auf ein GKE-Ziel verweist, führt der Ereignis-Forwarder (ein speziell konfigurierter gke-forwarder-Pod) folgende Schritte aus:

  1. Er verwendet die Pub/Sub API, um eine StreamingPull-Verbindung zum Trigger-Transporter (ein Pub/Sub-Thema und -Abo) zu öffnen, und empfängt Ereignisse, wenn sie verfügbar sind.

  2. Er wandelt Ereignisse in das richtige CloudEvents-Format um und codiert sie als HTTP POST-Anfrage an den GKE-Zieldienst.

Der Eventarc-Dienst-Agent benötigt die Berechtigung zum Ausführen und regelmäßigen Aktualisieren der gke-forwarder-Instanz. Diese Berechtigung muss einmal pro Projekt erteilt werden. Weitere Informationen finden Sie in diesem Dokument unter GKE-Ziele aktivieren.

Erstellung eines Triggers vorbereiten

Für jeden Trigger, der auf einen GKE-Dienst abzielt, erstellt Eventarc eine Komponente zur Ereignisweiterleitung. Eventarc benötigt Berechtigungen zum Installieren der Komponente und zum Verwalten von Ressourcen im GKE-Cluster. Bevor Sie einen Eventarc-Trigger für GKE-Ziele erstellen, müssen Sie die folgenden Aufgaben ausführen:

Console

  1. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Aktivieren Sie die Eventarc, Eventarc Publishing, Google Kubernetes Engine und Resource Manager APIs.

    Aktivieren Sie die APIs

  3. Aktivieren Sie gegebenenfalls die API, die mit den Cloud-Audit-Logs-Ereignissen verbunden ist. Aktivieren Sie beispielsweise für Audit-Logs von Cloud Run Functions die Cloud Functions API.

  4. Falls noch nicht geschehen, erstellen Sie ein nutzerverwaltetes Dienstkonto und weisen Sie ihm die erforderlichen Rollen und Berechtigungen zu, damit Eventarc Ereignisse für Ihren Zieldienst verwalten kann.

    1. Wechseln Sie in der Google Cloud Console zur Seite Dienstkonto erstellen.

      Zur Seite „Dienstkonto erstellen“

    2. Wählen Sie Ihr Projekt aus.

    3. Geben Sie im Feld Dienstkontoname einen Namen ein. Die Google Cloud Console füllt das Feld Dienstkonto-ID anhand dieses Namens aus.

      Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel: Service account for event trigger

    4. Klicken Sie auf Erstellen und fortfahren.

    5. Wählen Sie in der Liste Rolle auswählen die erforderlichen IAM-Rollen (Identity and Access Management) aus, die Ihrem Dienstkonto zugewiesen werden sollen. Weitere Informationen finden Sie unter Rollen und Berechtigungen für GKE-Ziele.

      Klicken Sie auf Weitere Rolle hinzufügen, um weitere Rollen hinzuzufügen.

    6. Klicken Sie auf Weiter.

    7. Klicken Sie zum Abschließen der Erstellung des Dienstkontos auf Fertig.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Aktivieren Sie die Eventarc, Eventarc Publishing, Google Kubernetes Engine und Resource Manager APIs.

    gcloud services enable eventarc.googleapis.com \
        eventarcpublishing.googleapis.com \
        container.googleapis.com \
        cloudresourcemanager.googleapis.com
  3. Aktivieren Sie gegebenenfalls die API, die mit den Cloud-Audit-Log-Ereignissen verbunden ist. Aktivieren Sie beispielsweise für Audit-Logs von Cloud Run-Funktionen cloudfunctions.googleapis.com.

  4. Falls noch nicht geschehen, erstellen Sie ein nutzerverwaltetes Dienstkonto und weisen Sie ihm die erforderlichen Rollen und Berechtigungen zu, damit Eventarc Ereignisse für Ihr gewünschtes GKE-Ziel verwalten kann.

    1. Erstellen Sie das Dienstkonto:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      SERVICE_ACCOUNT_NAME durch den Namen des Dienstkontos ersetzen. Der Name des Dienstkontos muss zwischen 6 und 30 Zeichen lang sein und darf alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten. Nachdem Sie ein Dienstkonto erstellt haben, können Sie den Namen nicht mehr ändern.

    2. Erteilen Sie die erforderlichen IAM-Rollen oder -Berechtigungen (Identity and Access Management). Weitere Informationen finden Sie unter Rollen und Berechtigungen für GKE-Ziele.

GKE-Ziele aktivieren

Damit Eventarc Ressourcen im GKE-Cluster verwalten kann, aktivieren Sie GKE-Ziele und binden Sie das Eventarc-Dienstkonto an die erforderlichen Rollen.

  1. Aktivieren Sie GKE-Ziele für Eventarc:

    gcloud eventarc gke-destinations init
  2. Geben Sie bei der Aufforderung, die erforderlichen Rollen zu binden, y ein.

    Die folgenden Rollen sind gebunden:

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

Trigger erstellen

Sie können einen Eventarc-Trigger mit der Google Cloud CLI oder über die Google Cloud Console erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite mit den Eventarc-Triggern auf.

    Zur Seite "Trigger"

  2. Klicken Sie auf Trigger erstellen.
  3. Geben Sie einen Triggernamen ein.

    Dies ist die ID des Triggers. Sie muss mit einem Buchstaben beginnen. Sie kann bis zu 63 Kleinbuchstaben, Ziffern oder Bindestriche enthalten.

  4. Wählen Sie als Triggertyp die Option Google-Quellen aus.
  5. Wählen Sie einen Ereignisanbieter aus.

    Dies ist der Google-Dienst, der die Ereignisquelle über die Audit-Logs bildet. Wählen Sie beispielsweise BigQuery aus.

    Beachten Sie, dass der Name des Ereignisanbieters, der in der zugehörigen Google Cloud-Dokumentation verwendet wird, möglicherweise nicht das Präfix Cloud oder Google Cloud hat. In der Console wird Memorystore for Redis beispielsweise als Google Cloud Memorystore for Redis bezeichnet.

  6. Wählen Sie in der Liste Ereignistyp aus den Ereignissen über Cloud-Audit-Logs einen Ereignistyp aus.
  7. Entscheiden Sie sich für eine der folgenden Möglichkeiten:
    • Beliebige Ressource: Dies ist die Standardeinstellung und enthält dynamisch erstellte Ressourcen, deren Kennungen bei der Erstellung generiert wurden.
    • Bestimmte Ressource: Sie müssen den vollständigen Ressourcennamen angeben.
    • Pfadmuster: Sie können mithilfe eines Pfadmusters nach Ressourcen filtern. Geben Sie beispielsweise projects/_/buckets/eventarc-bucket/objects/random.txt oder projects/_/buckets/**/r*.txt ein.
  8. Wählen Sie zur Angabe der Codierung der Ereignisnutzlast in der Liste Inhaltstyp des Ereignisdaten die Option application/json oder application/protobuf aus.

    Beachten Sie, dass eine im JSON-Format formatierte Ereignisnutzlast größer als eine in Protobuf formatierte ist. Dies kann sich auf die Zuverlässigkeit auswirken, je nach Ereignisziel und Limits der Ereignisgröße. Weitere Informationen finden Sie unter Bekannte Probleme.

  9. Wählen Sie in der Liste Region eine Region aus.

    Cloud-Audit-Log-Trigger für Eventarc sind in bestimmten Regionen und in der globalen Region verfügbar, jedoch nicht an Standorten mit zwei oder mehreren Regionen. Zur Vermeidung von Leistungs- und Datenstandortproblemen, die durch einen globalen Trigger verursacht werden, sollte der Standort mit dem des Google Cloud-Dienstes übereinstimmen, der Ereignisse generiert. Weitere Informationen finden Sie unter Eventarc-Standorte.

    Wenn Sie den globalen Standort angeben, erhalten Sie Ereignisse von allen Standorten, die Übereinstimmungen für die Ereignisfilter liefern. Durch Erstellen eines globalen Eventarc-Triggers können Sie beispielsweise Ereignisse von Ressourcen in den Mehrfachregionen EU und USA empfangen.

    Beachten Sie, dass es ein bekanntes Problem bei Cloud-Audit-Log-Triggern für Compute Engine gibt, das dazu führt, dass Ereignisse aus einer einzelnen Region stammen: us-central1. Dies gilt unabhängig davon, wo sich die VM-Instanz tatsächlich befindet. Legen Sie den Trigger-Standort entweder auf us-central1 oder auf global fest, wenn Sie den Trigger erstellen.

  10. Wählen Sie das Dienstkonto aus, das Ihren Dienst oder Workflow aufruft.

    Alternativ können Sie ein neues Dienstkonto erstellen.

    Dies gibt die E-Mail-Adresse des IAM-Dienstkontos (Identity and Access Management) an, die dem Trigger zugeordnet ist und für die Sie zuvor bestimmte Rollen zugewiesen haben, die für Eventarc erforderlich sind.

  11. Wählen Sie in der Liste Ereignisziel die Option Cloud Run aus.
  12. Wählen Sie einen Dienst aus.

    Dies ist der Name des Dienstes, der die Ereignisse für den Trigger empfängt. Der Dienst muss sich im selben Projekt wie der Trigger befinden und empfängt Ereignisse als HTTP-POST-Anfragen, die an seinen Root-URL-Pfad (/) gesendet werden, wenn das Ereignis erzeugt wird.

  13. Optional können Sie den Dienst-URL-Pfad angeben, an den die eingehende Anfrage gesendet werden soll.

    Dies ist der relative Pfad im Zieldienst, an den die Ereignisse für den Trigger gesendet werden sollen. Beispiel: /, /route, route, route/subroute.

  14. Klicken Sie auf Erstellen.
  15. Nachdem ein Trigger erstellt wurde, können die Ereignisquellenfilter nicht mehr geändert werden. Erstellen Sie stattdessen einen neuen Trigger und löschen Sie den alten. Weitere Informationen finden Sie unter Trigger verwalten.

gcloud

Wenn Sie einen gcloud eventarc triggers create-Befehl zusammen mit den erforderlichen und optionalen Flags ausführen, können Sie einen Trigger erstellen.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Ersetzen Sie dabei Folgendes:

  • TRIGGER: die ID des Triggers oder eine voll qualifizierte Kennzeichnung
  • LOCATION: der Standort des Eventarc-Triggers. Alternativ können Sie das Attribut eventarc/location festlegen. Beispiel: gcloud config set eventarc/location us-central1.

    Cloud-Audit-Log-Trigger für Eventarc sind in bestimmten Regionen und in der globalen Region verfügbar, jedoch nicht an Standorten mit zwei oder mehreren Regionen. Zur Vermeidung von Leistungs- und Datenstandortproblemen, die durch einen globalen Trigger verursacht werden, sollten der Standort mit dem des Google Cloud-Dienstes übereinstimmen, der Ereignisse generiert. Weitere Informationen finden Sie unter Eventarc-Standorte.

    Wenn Sie den globalen Standort angeben, erhalten Sie Ereignisse von allen Standorten, die Übereinstimmungen für die Ereignisfilter liefern. Durch Erstellen eines globalen Eventarc-Triggers können Sie beispielsweise Ereignisse von Ressourcen in den Mehrfachregionen EU und USA empfangen.

    Beachten Sie, dass es ein bekanntes Problem bei Cloud-Audit-Log-Triggern für Compute Engine gibt, das dazu führt, dass Ereignisse aus einer einzelnen Region stammen: us-central1. Dies gilt unabhängig davon, wo sich die VM-Instanz tatsächlich befindet. Legen Sie den Trigger-Standort entweder auf us-central1 oder auf global fest, wenn Sie den Trigger erstellen.

  • DESTINATION_GKE_CLUSTER: der Name des GKE-Clusters, in dem der GKE-Zieldienst, der Ereignisse empfängt, ausgeführt wird.
  • DESTINATION_GKE_LOCATION: (optional) die Compute Engine-Region des GKE-Clusters, in dem der GKE-Zieldienst ausgeführt wird. Wenn keine Angabe erfolgt, wird davon ausgegangen, dass der Cluster ein regionaler Cluster ist und sich in derselben Region wie der Trigger befindet.
  • DESTINATION_GKE_NAMESPACE: (optional) der Namespace, in dem der GKE-Zieldienst ausgeführt wird. Wenn keine Angabe erfolgt, wird der Namespace default verwendet.
  • DESTINATION_GKE_SERVICE: der Name des GKE-Dienstes, der die Ereignisse für den Trigger empfängt. Der Dienst kann sich an einem der von GKE unterstützten Standorte befinden und muss nicht am selben Standort wie der Trigger vorhanden sein. Er muss sich aber im selben Projekt wie der Trigger befinden. Der Dienst empfängt Ereignisse als HTTP-POST-Anfragen, die an seinen Root-URL-Pfad (/) gesendet werden, wenn das Ereignis erzeugt wird.
  • DESTINATION_GKE_PATH: (optional) der relative Pfad zum GKE-Zieldienst, zu dem die Ereignisse für den Trigger gesendet werden sollen. Beispiele: /, /route, route, route/subroute.
  • SERVICE_NAME: die Kennzeichnung des Google Cloud-Dienstes.
  • METHOD_NAME: die Kennzeichnung des Vorgangs.
  • EVENT_DATA_CONTENT_TYPE: (optional) die Codierung der Ereignisnutzlast. Das kann application/json oder application/protobuf sein. Die Standardcodierung ist application/json.

    Beachten Sie, dass eine im JSON-Format formatierte Ereignisnutzlast größer als eine in Protobuf formatierte ist. Dies kann sich auf die Zuverlässigkeit auswirken, je nach Ereignisziel und Limits der Ereignisgröße. Weitere Informationen finden Sie unter bekannte Probleme.

  • SERVICE_ACCOUNT_NAME: der Name Ihres nutzerverwalteten Dienstkontos.
  • PROJECT_ID ist Ihre Google Cloud-Projekt-ID.

Hinweise:

  • Diese Flags sind erforderlich:

    • --event-filters="type=google.cloud.audit.log.v1.written"
    • --event-filters="serviceName=VALUE"
    • --event-filters="methodName=VALUE"
  • Optional können Sie Ereignisse für eine bestimmte Ressource filtern. Verwenden Sie dazu das Flag --event-filters="resourceName=VALUE" und geben Sie den vollständigen Pfad zur Ressource an. Lassen Sie das Flag für dynamisch erstellte Ressourcen weg, deren Kennzeichnungen zur Erstellungszeit generiert werden. Alternativ können Sie Ereignisse für eine Reihe von Ressourcen filtern, wenn Sie das Flag --event-filters-path-pattern="resourceName=VALUE" verwenden und das Muster für den Ressourcenpfad angeben.

  • Jeder Trigger kann mehrere Ereignisfilter haben, die durch Kommata in einem --event-filters=[ATTRIBUTE=VALUE,...]-Flag getrennt sind. Sie können das Flag aber auch wiederholen, um weitere Filter hinzuzufügen. Nur Ereignisse, die mit allen Filtern übereinstimmen, werden an das Ziel gesendet. Platzhalter und reguläre Ausdrücke werden nicht unterstützt.
  • Nachdem ein Trigger erstellt wurde, kann der Ereignisfiltertyp nicht mehr geändert werden. Für einen anderen Ereignistyp müssen Sie einen neuen Trigger erstellen und den alten löschen.
  • Mit dem Flag --service-account wird die E-Mail-Adresse des IAM-Dienstkontos (Identity and Access Management) angegeben, das mit dem Trigger verknüpft ist.

Beispiel:

  gcloud eventarc triggers create helloworld-trigger \
      --location=us-central1 \
      --destination-gke-cluster=gke-events-cluster \
      --destination-gke-location=us-central1-a \
      --destination-gke-namespace=default \
      --destination-gke-service=helloworld-events \
      --destination-gke-path=/ \
      --event-filters="type=google.cloud.audit.log.v1.written" \
      --event-filters="serviceName=bigquery.googleapis.com" \
      --event-filters="methodName=google.cloud.bigquery.v2.JobService.InsertJob" \
      --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Dadurch wird ein Trigger namens helloworld-trigger für Audit-Logs erstellt, die von bigquery.googleapis.com geschrieben werden, und für den Vorgang, der als google.cloud.bigquery.v2.JobService.InsertJob identifiziert wird.

Terraform

Sie können einen Trigger für ein GKE-Ziel mit Terraform erstellen. Weitere Informationen finden Sie unter Trigger mit Terraform erstellen.

Trigger auflisten

Sie können die Erstellung eines Triggers bestätigen, indem Sie Eventarc-Trigger mit der Google Cloud CLI oder über die Google Cloud Console auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite mit den Eventarc-Triggern auf.

    Zur Seite "Trigger"

    Auf dieser Seite werden Ihre Trigger an allen Standorten aufgelistet. Außerdem enthält sie Details wie Namen, Regionen, Ereignisanbieter, Ziele usw.

  2. So filtern Sie die Trigger:

    1. Klicken Sie auf Filter oder das Feld Trigger filtern.
    2. Wählen Sie in der Liste Attribute eine Option aus, nach der die Trigger gefiltert werden sollen.

    Sie können ein einzelnes Attribut auswählen oder den logischen Operator OR verwenden, um weitere Attribute hinzuzufügen.

  3. Klicken Sie zum Sortieren der Trigger neben jeder unterstützten Spaltenüberschrift auf Sortieren.

gcloud

Führen Sie den folgenden Befehl aus, um die Trigger aufzulisten:

gcloud eventarc triggers list --location=-

Dieser Befehl listet Ihre Trigger an allen Standorten auf und enthält Details wie Namen, Typen, Ziele und Status.

Nächste Schritte