使用 Kubernetes 审核日志记录

本文档介绍了如何在裸机上使用 Google Distributed Cloud（纯软件）的 Cloud Audit Logs。Google Distributed Cloud 使用 Kubernetes 审核日志记录功能，该功能会按时间顺序记录对集群 Kubernetes API 服务器进行的调用。审核日志适合用于调查可疑的 API 请求以及收集统计信息。如需了解 GKE On-Prem API 的审核日志记录，请参阅 Cloud API 审核日志记录。

Cloud Audit Logs 简介

审核日志会写入Google Cloud 项目中的 Cloud Audit Logs。与写入磁盘，在本地日志记录系统中捕获日志相比，写入 Cloud Audit Logs 具有多个优势：

• 所有 GKE 集群的审核日志都可以集中管理。
• 写入 Cloud Audit Logs 的日志条目是不可变的。
• Cloud Audit Logs 条目会保留 400 天。
• Cloud Audit Logs 功能包含在 Google Distributed Cloud 纯软件的价格中。
• 您可以配置 Google Distributed Cloud，以将日志写入磁盘或 Cloud Audit Logs。

基于磁盘的审核日志记录

如果明确停用 Cloud Audit Logs，则审核日志会写入永久性磁盘，这样集群重启和升级就不会导致日志消失。 Google Distributed Cloud 纯软件最多可保留 1 GiB 的审核日志条目。

通过登录控制平面节点访问基于磁盘的审核日志。这些日志位于 /var/log/apiserver/ 目录中。

Cloud Audit Logs

所有 Kubernetes API 服务器的管理员活动审核日志条目都会使用您在创建用户集群时指定的项目和位置发送到Google Cloud。为了缓冲日志条目并将其写入 Cloud Audit Logs，Google Distributed Cloud 会部署 audit-proxy 在控制平面节点上运行的守护程序集。

限制

在裸金属上，Cloud Audit Logs 存在以下限制：

• 不支持数据访问日志记录。
• 不支持修改 Kubernetes 审核政策。
• Cloud Audit Logs 不能应对长时间的网络中断。如果日志条目无法导出到 Google Cloud，则它们将缓存在 10 GiB 的磁盘缓冲区中。如果该缓冲区填满，则最早的条目会被丢弃。
  • 一个项目最多可以支持大约 1000 个用于 Cloud Audit Logs 的服务账号。多个集群可以使用同一个服务账号。

为 Cloud Audit Logs 创建服务账号

您必须先配置以下内容，然后才能将 Cloud Logging 和 Cloud Monitoring 与 Google Distributed Cloud 纯软件搭配使用：

1. 在 Google Cloud 项目中创建一个 Cloud Monitoring 工作区（如果您还没有该工作区）。

   在 Google Cloud 控制台中，点击以下按钮，并按照工作流进行操作。

   转到“监控”

2. 点击以下按钮以启用所需的 API：

   启用 Anthos Audit API

   启用 Stackdriver API

   启用 Monitoring API

   启用 Logging API

3. 将以下 IAM 角色分配给 Stackdriver 代理使用的服务账号：

   • logging.logWriter
   • monitoring.metricWriter
   • stackdriver.resourceMetadata.writer
   • monitoring.dashboardEditor

访问 Cloud Audit Logs

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

审核政策

Kubernetes 审核政策定义将哪些事件应记录为日志条目的规则，并指定日志条目应包含的数据。不支持更改此政策以修改 Cloud Audit Logs 行为。