Présentation
GKE sur AWS est compatible avec les journaux d'audit au niveau de l'API Cloud et au niveau du cluster Kubernetes. Ce document fournit des informations sur la journalisation d'audit des clusters Kubernetes. Pour en savoir plus sur les journaux d'audit des API Cloud, consultez la page Informations sur les journaux d'audit des API Cloud.
Les clusters GKE sur AWS utilisent la Journalisation d'audit Kubernetes, qui conserve un enregistrement chronologique des appels passés vers le serveur d'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes et collecter des statistiques.
Dans les versions de cluster 1.23 et ultérieures, les clusters GKE sur AWS écrivent les journaux d'audit Cloud dans un projet Google Cloud par défaut. L'écriture de journaux d'audit Cloud présente les avantages suivants :
- Les journaux d'audit de tous les clusters GKE peuvent être centralisés.
- Les entrées de journal écrites dans Cloud Audit Logging sont immuables.
- Les entrées Cloud Audit Logging sont conservées pendant 400 jours.
- Cloud Audit Logging est inclus dans le prix d'Anthos.
Limites
La version actuelle des journaux Cloud Audit Logs pour GKE sur AWS présente plusieurs limites :
La journalisation des accès aux données (get, list, watch) n'est pas prise en charge.
La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
Cloud Audit Logging n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Go. Si ce tampon est plein, les entrées suivantes sont ignorées.
Avant de commencer
Pour activer les journaux d'audit Cloud, vous devez ajouter un accès sortant à servicecontrol.googleapis.com
à partir des sous-réseaux de votre plan de contrôle.
Règle d'audit
Le comportement de Cloud Audit Logging est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. La modification de cette règle n'est pas possible pour le moment, mais elle sera disponible dans une version ultérieure.
Accéder à Cloud Audit Logs
Vous pouvez accéder aux journaux d'audit Cloud dans la console Google Cloud ou avec Google Cloud CLI.
Console
Dans la console Google Cloud, accédez à la page Explorateur de journaux du menu Journalisation.
Cliquez sur le bouton toggle_offAfficher la requête.
Renseignez la zone de texte avec le filtre suivant :
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
L'écran ressemble à ceci :
Cliquez sur Exécuter la requête pour afficher tous les journaux d'audit des clusters GKE sur AWS configurés pour se connecter à ce projet.
gcloud
Répertoriez les deux premières entrées du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster" ' \ --limit 2 \ --freshness 300d
où PROJECT_ID correspond à l'ID de votre projet.
La sortie affiche deux entrées de journal. Notez que pour chaque entrée de journal, le champ logName
a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
et que protoPayload.serviceName
est égal à gkemulticloud.googleapis.com
.