Descripción general
GKE on AWS admite los registros de auditoría a nivel de la API de Cloud y del clúster de Kubernetes. En este documento, se proporciona información sobre el registro de auditoría del clúster de Kubernetes. Para obtener información sobre el registro de auditoría de la API de Cloud, consulta Información de registro de auditoría de la API de Cloud.
GKE en AWS usa el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes a la API sospechosas y recopilar estadísticas.
En las versiones 1.23 y posteriores del clúster, GKE on AWS escribe Registros de auditoría de Cloud en un proyecto de Google Cloud de forma predeterminada. Escribir en los Registros de auditoría de Cloud tiene los siguientes beneficios:
- Los registros de auditoría para todos los clústeres de GKE se pueden centralizar.
- Las entradas de registro escritas en los registros de auditoría de Cloud son inmutables.
- Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
- Los registros de auditoría de Cloud se incluyen en el precio de Anthos.
Limitaciones
La versión actual de los Registros de auditoría de Cloud para GKE en AWS tiene varias limitaciones:
No se admite el registro de acceso a los datos (solicitudes get, list y watch).
No se admite la modificación de la política de auditoría de Kubernetes.
Los registros de auditoría de Cloud no es resiliente a las interrupciones de red ampliada. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenan en caché en un búfer de disco de 10 G. Si se completa ese búfer, se descartan las entradas posteriores.
Antes de comenzar
Para habilitar los registros de auditoría de Cloud, debes agregar acceso saliente a servicecontrol.googleapis.com
desde las subredes del plano de control.
Política de auditoría
El comportamiento de los registros de auditoría de Cloud se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. Por el momento, no se admite el cambio de esta política, pero estará disponible en una versión futura.
Accede a los Registros de auditoría de Cloud
Puedes acceder a los Registros de auditoría de Cloud en la consola de Google Cloud o con Google Cloud CLI.
Consola
En la consola de Google Cloud, ve a la página Explorador de registros en el menú de Logging.
Haz clic en el toggle_offbotón de activar o desactivar Mostrar consulta.
Completa el cuadro de texto con el siguiente filtro:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
La pantalla luce de la siguiente manera:
Haz clic en Ejecutar consulta a fin de mostrar todos los registros de auditoría de los clústeres de GKE en AWS que se configuraron para acceder a este proyecto.
gcloud
Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster
:
gcloud logging read \ 'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" AND resource.type="k8s_cluster" ' \ --limit 2 \ --freshness 300d
En el ejemplo anterior, PROJECT_ID es el ID del proyecto.
Los resultados muestran dos entradas de registro. Ten en cuenta que para cada entrada de registro, el campo logName
tiene el valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity
, y protoPayload.serviceName
es igual a gkemulticloud.googleapis.com
.