Visão geral
O GKE na AWS oferece suporte à geração de registros de auditoria no nível da API Cloud e do cluster do Kubernetes. Neste documento, você encontra informações sobre a geração de registros de auditoria de clusters do Kubernetes. Para mais informações sobre a geração de registros de auditoria de APIs do Cloud, consulte esta página.
O GKE na AWS usa os registros de auditoria do Kubernetes, que mantêm um registro cronológico das chamadas feitas ao servidor da API Kubernetes do cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas e coletar estatísticas.
Por padrão, nas versões 1.23 e mais recentes do cluster, o GKE no AWS grava registros de auditoria do Cloud em um projeto do Google Cloud. A gravação nos registros de auditoria do Cloud tem os seguintes benefícios:
- Os registros de auditoria de todos os clusters do GKE podem ser centralizados.
- As entradas de registro gravadas nos registros de auditoria do Cloud são imutáveis.
- As entradas de registros de auditoria do Cloud são mantidas por 400 dias.
- Os registros de auditoria do Cloud estão incluídos no preço do Anthos.
Limitações
A versão atual dos Registros de auditoria do Cloud para o GKE na AWS tem várias limitações:
A geração de registros de acesso a dados (solicitações get, list e watch) não é compatível.
Não é possível modificar a política de auditoria do Kubernetes.
Os registros de auditoria do Cloud não são resilientes a interrupções de rede estendidas. Se as entradas de registro não puderem ser exportadas para o Google Cloud, elas serão armazenadas em um buffer de disco de 10G. Se esse buffer for preenchido, as entradas subsequentes serão descartadas.
Antes de começar
Para ativar os Registros de auditoria do Cloud, adicione o acesso de saída às
servicecontrol.googleapis.com
das sub-redes do plano de controle.
Política de auditoria
O comportamento dos Registros de auditoria do Cloud é determinado por uma política de registro de auditoria do Kubernetes configurada estaticamente. No momento, não é possível alterar essa política, mas ela estará disponível em uma versão futura.
Acessar os registros de auditoria do Cloud
É possível acessar os registros de auditoria do Cloud no Console do Google Cloud ou com a CLI do Google Cloud.
Console
No console do Google Cloud, acesse a página Explorador de registros no menu Logging.
Clique no botão de alternância toggle_off Mostrar consulta.
Preencha a caixa de texto com o filtro a seguir:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
A tela será parecida com esta:
Clique em Executar consulta para exibir todos os registros de auditoria do GKE em clusters da AWS configurados para fazer login nesse projeto.
gcloud
Liste as duas primeiras entradas no registro de atividade do administrador do projeto que se aplicam ao tipo de recurso k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster" ' \ --limit 2 \ --freshness 300d
PROJECT_ID é o ID do projeto.
A saída mostra duas entradas de registro. Observe que, para cada entrada de registro, o
campo logName
tem o valor
projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
,
e protoPayload.serviceName
é igual a gkemulticloud.googleapis.com
.