Kubernetes 감사 로깅 사용

이 문서에서는 Google Distributed Cloud용 Cloud 감사 로그를 사용하는 방법을 설명합니다. Google Distributed Cloud는 클러스터의 Kubernetes API 서버로 전송된 호출을 시간순으로 기록하는 Kubernetes 감사 로깅을 사용합니다. 감사 로그는 의심스러운 API 요청을 조사하고 통계를 수집하는 데 유용합니다. GKE On-Prem API 감사 로깅에 대한 자세한 내용은 Cloud API 감사 로깅을 참조하세요.

Cloud 감사 로그 정보

감사 로그는 Google Cloud 프로젝트의 Cloud 감사 로그에 기록됩니다. Cloud 감사 로그에 작성하면 디스크에 작성하거나 온프레미스 로깅 시스템에서 로그를 캡처하는 것보다 다양한 이점이 있습니다.

  • 모든 GKE 클러스터의 감사 로그를 중앙화할 수 있습니다.
  • Cloud 감사 로그에 기록된 로그 항목은 변경할 수 없습니다.
  • Cloud 감사 로그 항목은 400일 동안 보관됩니다.
  • Cloud 감사 로그 기능은 Google Distributed Cloud 요금에 포함되어 있습니다.
  • Google Distributed Cloud를 구성하여 디스크 또는 Cloud 감사 로그에 로그를 작성할 수 있습니다.

디스크 기반 감사 로깅

Cloud 감사 로그가 명시적으로 중지된 경우 Google Distributed Cloud의 감사 로그가 영구 디스크에 기록되므로 클러스터를 다시 시작하고 업그레이드할 때 로그가 사라지지 않습니다. Google Distributed Cloud는 감사 로그 항목을 최대 1GiB까지 보관합니다.

제어 영역 노드에 로그인하여 디스크 기반 감사 로그에 액세스합니다. 로그는 /var/log/apiserver/ 디렉터리에 있습니다.

Cloud 감사 로그

모든 Kubernetes API 서버의 관리자 활동 감사 로그 항목이 사용자 클러스터를 만들 때 지정한 프로젝트 및 위치를 통해 Google Cloud로 전송됩니다. Cloud 감사 로그에 로그 항목을 버퍼링하고 기록하기 위해 Google Distributed Cloud는 제어 영역 노드에서 실행되는 audit-proxy 데몬 세트를 배포합니다.

제한사항

Google Distributed Cloud의 Cloud 감사 로그에는 다음과 같은 제한사항이 있습니다.

  • 데이터 액세스 로깅은 지원되지 않습니다.
  • Kubernetes 감사 정책은 수정할 수 없습니다.
  • Cloud 감사 로그의 복원력은 확장 네트워크 중단에 대해 우수하지 않습니다. 로그 항목을 Google Cloud로 내보낼 수 없으면 10 GiB 디스크 버퍼에 캐시됩니다. 해당 디스크 버퍼가 채워지면 가장 오래된 항목이 삭제됩니다.

Cloud 감사 로그의 서비스 계정 만들기

Google Distributed Cloud에서 Cloud Logging 및 Cloud Monitoring을 사용하려면 먼저 다음을 구성해야 합니다.

  1. Google Cloud 프로젝트 내에 Cloud Monitoring 작업공간이 아직 없으면 만듭니다.

    Google Cloud 콘솔에서 다음 버튼을 클릭하고 워크플로를 따릅니다.

    Monitoring으로 이동

  2. 다음 버튼을 클릭하여 필요한 API를 사용 설정합니다.

    Anthos Audit API 사용 설정

    Stackdriver API 사용 설정

    Monitoring API 사용 설정

    Logging API 사용 설정

  3. 다음 IAM 역할을 Stackdriver 에이전트에 사용되는 서비스 계정에 할당합니다.

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Cloud 감사 로그 액세스

콘솔

  1. Google Cloud 콘솔의 Logging 메뉴에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

    기존 로그 뷰어 페이지가 열리면 업그레이드 드롭다운 메뉴에서 새 로그 탐색기로 업그레이드를 선택합니다.

  2. 쿼리를 클릭하여 쿼리 제출 필드에 액세스합니다.

  3. 필드에 다음 쿼리를 입력합니다.

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

    PROJECT_ID를 프로젝트 ID로 바꿉니다.

  4. 쿼리 실행을 클릭하여 이 프로젝트에 로그인하도록 구성된 Google Distributed Cloud 클러스터의 감사 로그를 모두 표시합니다.

gcloud

프로젝트의 관리자 활동 로그에서 k8s_cluster 리소스 유형에 적용되는 처음 두 로그 항목이 나열됩니다.

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

PROJECT_ID를 프로젝트 ID로 바꿉니다.

출력에 두 로그 항목이 표시됩니다. 각 로그 항목에서 logName 필드의 값은 projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity이고 protoPayload.serviceNameanthosgke.googleapis.com과 동일합니다.

감사 정책

Kubernetes 감사 정책은 어떤 이벤트를 로그 항목으로 기록할지에 대한 규칙을 정의하고 로그 항목에 포함되어야 하는 데이터를 지정합니다. 이 정책을 변경하여 Cloud 감사 로그의 동작을 수정하는 작업은 지원되지 않습니다.