Anthos clusters on bare metal ora è Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare il logging di controllo di Kubernetes

Questo documento descrive come utilizzare gli audit log di Cloud per Google Distributed Cloud (solo software) su bare metal. Google Distributed Cloud utilizza Kubernetes Audit logging, che mantiene un record cronologico delle chiamate effettuate a un server API Kubernetes del cluster. I log di controllo sono utili per esaminare le richieste API sospette e per raccogliere statistiche. Per informazioni sugli audit log per l'API GKE On-Prem, consulta Audit log dell'API Cloud.

Informazioni su Cloud Audit Logs

Gli audit log vengono scritti in Cloud Audit Logs nel progetto Google Cloud. La scrittura in Audit log di Cloud offre diversi vantaggi rispetto alla scrittura su disco o all'acquisizione di log in un sistema di logging on-premise:

I log di controllo per tutti i cluster GKE possono essere centralizzati.
Le voci di log scritte in Cloud Audit Logs sono immutabili.
Le voci degli audit log di Cloud vengono conservate per 400 giorni.
La funzionalità Audit log di Cloud è inclusa nel prezzo di Google Distributed Cloud solo software.
Puoi configurare Google Distributed Cloud per scrivere i log su disco o negli audit log di Cloud.

Audit logging basato su disco

Se Cloud Audit Logs è disabilitato esplicitamente, gli audit log vengono scritti su un disco permanente in modo che i riavvii e gli upgrade del cluster non causino la scomparsa dei log. Il software Google Distributed Cloud conserva solo fino a 1 GiB di voci di audit log.

Accedi agli audit log basati su disco accedendo ai nodi del piano di controllo. I log si trovano nella directory /var/log/apiserver/.

Cloud Audit Logs

Le voci degli audit log per le attività di amministrazione di tutti i server API Kubernetes vengono inviate a Google Cloud, utilizzando il progetto e la località specificati quando crei un cluster utente. Per mettere in memoria e scrivere le voci di log negli audit log di Cloud, Google Distributed Cloud esegue il deployment di un set di demoni audit-proxy che viene eseguito sui nodi del piano di controllo.

Limitazioni

Su bare metal, Cloud Audit Logs presenta le seguenti limitazioni:

La registrazione dell'accesso ai dati non è supportata.
La modifica del criterio di controllo di Kubernetes non è supportata.
Cloud Audit Logs non è resiliente alle interruzioni della rete prolungate. Se non è possibile esportare le voci di log in Google Cloud, vengono memorizzate nella cache in un buffer di disco di 10 GB. Se il buffer si riempie, le voci più vecchie vengono eliminate.
- Un progetto può supportare fino a circa 1000 account di servizio da utilizzare con i log di controllo di Cloud. Più cluster possono utilizzare lo stesso account di servizio.

Creazione di un account di servizio per Cloud Audit Logs

Prima di poter utilizzare Cloud Logging e Cloud Monitoring con solo software Google Distributed Cloud, devi prima configurare quanto segue:

Crea uno spazio di lavoro Cloud Monitoring all'interno del progetto Google Cloud, se non ne hai già uno.

Nella console Google Cloud, fai clic sul pulsante seguente e segui il flusso di lavoro.

Vai a Monitoring
Fai clic sui seguenti pulsanti per abilitare le API richieste:

Abilita l'API Anthos Audit

Attiva l'API Stackdriver

Abilita l'API Monitoring

Abilita l'API Logging
Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:
- logging.logWriter
- monitoring.metricWriter
- stackdriver.resourceMetadata.writer
- monitoring.dashboardEditor

ATTENZIONE prima di eliminare questo account di servizio, assicurati di sostituirlo con il nuovo account di servizio nella configurazione del cluster. Consulta Ruotare le chiavi dell'account di servizio. Se dimentichi di farlo, segui la guida per la pulizia.

Accesso a Cloud Audit Logs

Console

Nella console Google Cloud, vai alla pagina Esplora log nel menu Logging.

Vai a Esplora log

Se si apre la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Esegui l'upgrade.
Fai clic su Query per accedere al campo per l'invio di query.

Compila il campo con la seguente query:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

Sostituisci PROJECT_ID con l'ID progetto.

Fai clic su Esegui query per visualizzare tutti i log di controllo dei cluster configurati per accedere a questo progetto.

gcloud

Elenca le prime due voci del log dell'attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

Sostituisci PROJECT_ID con l'ID progetto.

L'output mostra due voci di log. Tieni presente che per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

Il criterio di controllo di Kubernetes definisce le regole per cui gli eventi vengono registrati come voci di log e specifica quali dati devono includere le voci di log. La modifica di questo criterio per modificare il comportamento degli audit log di Cloud non è supportata.