Hashicorp Vault

Vault 是基于身份的密钥和加密管理系统。此集成会收集 Vault 的审核日志，还会收集令牌、内存和存储指标。

如需详细了解 Vault，请参阅 Hashicorp Vault 文档。

前提条件

如需收集 Vault 遥测数据，您必须安装 Ops Agent：

• 对于指标，请安装 2.18.2 版或更高版本。
• 对于日志，请安装 2.18.1 版或更高版本。

此集成支持 Vault 1.6+ 版。

配置 Vault 实例

如需从 Vault 实例收集遥测数据，您必须将 HCL 或 JSON Vault 配置文件中的 prometheus_retention_time 字段设置为非零值。

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

此外，必须具有根用户身份才能启用审核日志收集和创建 prometheus-metrics ACL 政策。根令牌用于添加具有 /sys/metrics 端点的读取权限的政策。此政策用于创建具有足够权限的 Vault 令牌，以收集 Vault 指标。

如果您是首次初始化 Vault，则可以使用以下脚本生成根令牌。否则，请参阅使用解封密钥生成根令牌，了解如何生成根令牌。

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

为 Vault 配置 Ops Agent

按照配置 Ops Agent 指南 代理时，请添加所需的元素 从保险柜实例收集遥测数据，以及 重启代理。

配置示例

以下命令会创建相关配置来收集和注入 Vault 的遥测数据，并重启 Ops Agent。

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

配置日志收集

要从保险柜中注入日志，您必须为日志创建接收器 然后为新接收者创建流水线。

如需为 vault_audit 日志配置接收器，请指定以下字段：

记录的内容

logName 派生自配置中指定的接收器 ID。LogEntry 中的详细字段如下所示。

vault_audit 日志包含 LogEntry 中的以下字段：

配置指标收集

如需从保险柜注入指标，您必须为保险柜生成的指标创建接收器，然后为新的接收器创建流水线。

此接收器不支持在配置中使用多个实例，例如，监控多个端点。所有这些实例都会写入相同的时序，并且 Cloud Monitoring 无法区分它们。

如需为 vault 指标配置接收器，请指定以下字段：

监控的内容

下表提供了 Ops Agent 收集的指标列表 删除数据。

验证配置

本部分介绍如何验证您是否正确配置了 Vault 接收器。Ops Agent 可能需要一两分钟才会开始收集遥测数据。

如需验证 Vault 日志是否已发送到 Cloud Logging，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 Logs Explorer 页面。

   前往 Logs Explorer

   如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

2. 在编辑器中输入以下查询，然后点击运行查询：
   

   resource.type="gce_instance"
   log_id("vault_audit")
   

如需验证 Vault 指标是否已发送到 Cloud Monitoring，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 leaderboard Metrics Explorer 页面：

   进入 Metrics Explorer

   如果您使用搜索栏查找此页面，请选择子标题为监控的结果。

2. 在查询构建器窗格的工具栏中，选择名为 code MQL 或 code MQL 的按钮。
3. 验证已在MQL切换开关中选择 MQL。语言切换开关位于同一工具栏中，用于设置查询的格式。
4. 在编辑器中输入以下查询，然后点击运行查询：
   

   fetch gce_instance
   | metric 'workload.googleapis.com/vault.memory.usage'
   | every 1m
   

查看信息中心

如需查看保险柜指标，您必须配置一个图表或信息中心。 保险柜集成服务可为您提供一个或多个信息中心。在您配置集成并且 Ops Agent 开始收集指标数据后，所有信息中心都会自动安装。

您还可以在不安装集成的情况下查看信息中心的静态预览。

如需查看已安装的信息中心，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 信息中心页面：

   前往信息中心

   如果您使用搜索栏查找此页面，请选择子标题为监控的结果。

2. 选择信息中心列表标签页，然后选择集成类别。
3. 点击您要查看的信息中心的名称。

如果您已配置集成，但尚未安装信息中心，请检查 Ops Agent 是否正在运行。如果信息中心内没有图表的指标数据，则信息中心的安装将失败。Ops Agent 开始收集指标后，系统会为您安装信息中心。

如需查看信息中心的静态预览，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 集成页面：

   前往集成

   如果您使用搜索栏查找此页面，请选择子标题为监控的结果。

2. 点击 Compute Engine 部署平台过滤条件。
3. 找到保险柜的条目，然后点击查看详细信息。
4. 选择信息中心标签页以查看静态预览。如果信息中心已安装，您可以通过点击查看信息中心来转到信息中心。

如需详细了解 Cloud Monitoring 中的信息中心，请参阅信息中心和图表。

如需详细了解如何使用集成页面，请参阅管理集成。

安装提醒政策

提醒政策会指示 Cloud Monitoring 在满足指定条件时通知您。 保险柜集成服务可提供一项或多项提醒政策供您使用。您可以从 Monitoring 中的集成页面查看和安装这些提醒政策。

如需查看可用提醒政策的说明并安装它们，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 集成页面：

   前往集成

   如果您使用搜索栏查找此页面，请选择子标题为监控的结果。

2. 找到保险柜的条目，然后点击查看详细信息。
3. 选择提醒标签页。此标签页提供可用提醒政策的说明，并提供一个安装政策的界面。
4. 安装提醒政策。提醒政策需要知道将提醒触发的通知发送到何处，因此它们需要您提供信息才能进行安装。如需安装提醒政策，请执行以下操作：
   1. 从可用提醒政策列表中，选择您要安装的提醒政策。

   2. 在配置通知部分中，选择一个或多个通知渠道。您可以选择禁止使用通知渠道，但如果您这样做，则您的提醒政策将以静默方式触发。您可以在 Monitoring 中查看其状态，但不会收到通知。

      如需详细了解通知渠道，请参阅管理通知渠道。

   3. 点击创建政策。

如需详细了解 Cloud Monitoring 中的提醒政策，请参阅提醒简介。

如需详细了解如何使用集成页面，请参阅管理集成。

后续步骤

如需查看有关如何使用 Ansible 安装 Ops Agent、配置第三方应用和安装示例信息中心的演示，请观看安装 Ops Agent 以排查第三方应用的问题视频。