Questa pagina è stata tradotta dall'API Cloud Translation.

Hashicorp Vault

Vault è un sistema di gestione della crittografia e dei secret basati sull'identità. Questa integrazione raccoglie gli audit log di Vault. L'integrazione raccoglie anche metriche relative a token, memoria e spazio di archiviazione.

Per ulteriori informazioni su Vault, consulta la documentazione di Hashicorp Vault.

Prerequisiti

Per raccogliere dati di telemetria Vault, devi installare Ops Agent:

Per le metriche, installa la versione 2.18.2 o successive.
Per i log, installa la versione 2.18.1 o successiva.

Questa integrazione supporta Vault 1.6 o versioni successive.

Configura l'istanza di Vault

Per raccogliere dati di telemetria dall'istanza di Vault, devi impostare il campo prometheus_retention_time su un valore diverso da zero nel file di configurazione di HCL o JSON Vault.

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

Inoltre, è necessario un utente root per abilitare la raccolta degli audit log e creare un criterio ACL di Prometheus-metrics. Un token radice viene utilizzato per aggiungere un criterio con funzionalità di lettura all'endpoint /sys/metrics. Questo criterio viene utilizzato per creare un token Vault con autorizzazioni sufficienti per raccogliere le metriche di Vault.

Se stai inizializzando Vault per la prima volta, puoi utilizzare lo script seguente per generare un token principale. In caso contrario, consulta Generare token radice utilizzando chiavi di unseal per informazioni sulla generazione di un token radice.

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Configura Ops Agent per Vault

Seguindo la guida per la configurazione di Ops Agent, aggiungi gli elementi richiesti per raccogliere la telemetria dalle istanze di Vault e riavvia l'agente.

Configurazione di esempio

Il comando seguente crea la configurazione per raccogliere e importare la telemetria per Vault e riavvia Ops Agent.

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

Configura la raccolta dei log

Per importare i log da Vault, devi creare ricevitori per i log prodotti da Vault, quindi creare una pipeline per i nuovi destinatari.

Per configurare un ricevitore per i log di vault_audit, specifica i seguenti campi:

Campo	Predefinita	Descrizione
`exclude_paths`		Un elenco di pattern di percorso del file system da escludere dal set con corrispondenza in base a `include_paths`.
`include_paths`		Un elenco di percorsi di file system da leggere eseguendo la coda di ogni file. Nei percorsi è possibile utilizzare un carattere jolly (`*`).
`record_log_file_path`	`false`	Se il criterio viene impostato su `true`, il percorso del file specifico da cui è stato ottenuto il record di log viene visualizzato nella voce di log di output come valore dell'etichetta `agent.googleapis.com/log_file_path`. Quando utilizzi un carattere jolly, viene registrato solo il percorso del file da cui è stato ottenuto il record.
`type`		Il valore deve essere `vault_audit`.
`wildcard_refresh_interval`	`60s`	L'intervallo di aggiornamento dei percorsi dei file con caratteri jolly in `include_paths`. Indicata come durata di tempo, ad esempio `30s` o `2m`. Questa proprietà può essere utile in caso di velocità effettiva di logging elevate, in cui i file di log vengono ruotati più velocemente dell'intervallo predefinito.

Che cosa viene registrato

logName deriva dagli ID destinatario specificati nella configurazione. Di seguito sono riportati i campi dettagliati all'interno di LogEntry.

I log vault_audit contengono i seguenti campi in LogEntry:

Campo	Tipo	Descrizione
`jsonPayload.auth`	struct
`jsonPayload.auth.accessor`	string	Questo è un HMAC della funzione di accesso al token client.
`jsonPayload.auth.client_token`	string	Si tratta di un HMAC dell'ID token del client.
`jsonPayload.auth.display_name`	string	Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret.
`jsonPayload.auth.entity_id`	string	Questo è un identificatore dell'entità token.
`jsonPayload.auth.metadata`	oggetto	Questo conterrà un elenco di coppie chiave/valore di metadati associate a client_token.
`jsonPayload.auth.policies`	oggetto	Questo conterrà un elenco di criteri associati a client_token.
`jsonPayload.auth.token_type`	string
`jsonPayload.error`	string	Se si è verificato un errore nella richiesta, il messaggio di errore viene incluso nel valore di questo campo.
`jsonPayload.request`	struct
`jsonPayload.request.client_token`	string	Si tratta di un HMAC dell'ID token del client.
`jsonPayload.request.client_token_accessor`	string	Questo è un HMAC della funzione di accesso al token client.
`jsonPayload.request.data`	oggetto	L'oggetto dati conterrà dati secret in coppie chiave/valore.
`jsonPayload.request.headers`	oggetto	Intestazioni HTTP aggiuntive specificate dal client come parte della richiesta.
`jsonPayload.request.id`	string	Si tratta dell'identificatore univoco della richiesta.
`jsonPayload.request.namespace.id`	string
`jsonPayload.request.operation`	string	Questo è il tipo di operazione che corrisponde alle funzionalità del percorso e dovrebbe essere uno dei seguenti: `create`, `read`, `update`, `delete` o `list`.
`jsonPayload.request.path`	string	Il percorso Vault richiesto per l'operazione.
`jsonPayload.request.policy_override`	boolean	Si tratta di `true` quando è stato richiesto un override del criterio obbligatorio.
`jsonPayload.request.remote_address`	string	L'indirizzo IP del client che effettua la richiesta.
`jsonPayload.request.wrap_ttl`	string	Se il token è aggregato, viene visualizzato il valore TTL con wrapping configurato come stringa numerica.
`jsonPayload.response`	struct
`jsonPayload.response.data.accessor`	string	Questo è un HMAC della funzione di accesso al token client.
`jsonPayload.response.data.creation_time`	string	Timestamp nel formato RFC 3339 della creazione del token.
`jsonPayload.response.data.creation_ttl`	string	TTL di creazione del token in secondi.
`jsonPayload.response.data.display_name`	string	Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret.
`jsonPayload.response.data.entity_id`	string	Questo è un identificatore dell'entità token.
`jsonPayload.response.data.expire_time`	string	Timestamp del formato RFC 3339 che rappresenta il momento in cui scadrà il token.
`jsonPayload.response.data.explicit_max_ttl`	string	Valore TTL massimo del token esplicito in secondi ("0" se non impostato).
`jsonPayload.response.data.id`	string	Si tratta dell'identificatore univoco della risposta.
`jsonPayload.response.data.issue_time`	string	Timestamp del formato RFC 3339.
`jsonPayload.response.data.num_uses`	number	Se il token è limitato a un certo numero di utilizzi, quel valore verrà rappresentato qui.
`jsonPayload.response.data.orphan`	boolean	Valore booleano che rappresenta se il token è orfano.
`jsonPayload.response.data.path`	string	Il percorso Vault richiesto per l'operazione.
`jsonPayload.response.data.policies`	oggetto	Questo conterrà un elenco di criteri associati a client_token.
`jsonPayload.response.data.renewable`	boolean	Valore booleano che rappresenta se il token è orfano.
`jsonPayload.type`	string	Il tipo di audit log.
`severity`	string
`timestamp`	stringa (`Timestamp`)	Ora in cui la richiesta è stata ricevuta

Configurazione della raccolta di metriche

Per importare le metriche da Vault, devi creare un ricevitore per le metriche prodotte da Vault, quindi creare una pipeline per il nuovo ricevitore.

Questo ricevitore non supporta l'utilizzo di più istanze nella configurazione, ad esempio per monitorare più endpoint. Tutte queste istanze scrivono nella stessa serie temporale e Cloud Monitoring non ha modo di distinguerle.

Per configurare un ricevitore per le metriche vault, specifica i seguenti campi:

Campo	Predefinita	Descrizione
`ca_file`		Percorso del certificato CA. In qualità di client, verifica il certificato del server. Se vuoto, il destinatario utilizza la CA radice di sistema.
`cert_file`		Percorso del certificato TLS da utilizzare per le connessioni richieste per mTLS.
`collection_interval`	`60s`	Un valore `time.Duration`, ad esempio `30s` o `5m`.
`endpoint`	`localhost:8200`	Il valore "hostname:port" utilizzato da vault
`insecure`	`true`	Consente di impostare se utilizzare o meno una connessione TLS sicura. Se impostato su `false`, il protocollo TLS è abilitato.
`insecure_skip_verify`	`false`	Consente di scegliere se saltare o meno la verifica del certificato. Se `insecure` viene impostato su `true`, il valore "insecure_skip_verify" non viene utilizzato.
`key_file`		Percorso della chiave TLS da utilizzare per le connessioni richieste da mTLS.
`metrics_path`	`/v1/sys/metrics`	Il percorso per la raccolta delle metriche.
`token`	`localhost:8200`	Token utilizzato per l'autenticazione.
`type`		Questo valore deve essere `vault`.

Che cosa viene monitorato

La tabella seguente fornisce l'elenco delle metriche raccolte da Ops Agent dall'istanza di Vault.

Tipo di metrica
Tipo, tipo Risorse monitorate	Etichette
`workload.googleapis.com/vault.audit.request.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.audit.response.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.core.leader.duration`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.core.request.count`
`GAUGE`, `INT64` gce_instance	`cluster`
`workload.googleapis.com/vault.memory.usage`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.storage.operation.delete.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.delete.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.token.count`
`GAUGE`, `INT64` gce_instance	`namespace` `cluster`
`workload.googleapis.com/vault.token.lease.count`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.renew.time`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.revoke.time`
`GAUGE`, `INT64` gce_instance

Verificare la configurazione

In questa sezione viene descritto come verificare la corretta configurazione del ricevitore Vault. Ops Agent potrebbe impiegare uno o due minuti per iniziare a raccogliere dati di telemetria.

Per verificare che i log di Vault vengano inviati a Cloud Logging, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log

Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Inserisci la seguente query nell'editor, quindi fai clic su Esegui query:
```
resource.type="gce_instance"
log_id("vault_audit")
```

Per verificare che le metriche di Vault vengano inviate a Cloud Monitoring, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Esplora metriche:
Vai a Esplora metriche

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Nella barra degli strumenti del riquadro di creazione di query, seleziona il pulsante con il nome MQL o PromQL.
Verifica che sia selezionato MQL nell'opzione di attivazione/disattivazione Lingua. L'opzione di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che ti consente di formattare la query.

Inserisci la seguente query nell'editor, quindi fai clic su Esegui query:

fetch gce_instance
| metric 'workload.googleapis.com/vault.memory.usage'
| every 1m

Visualizza dashboard

Per visualizzare le metriche di Vault, devi aver configurato un grafico o una dashboard. L'integrazione di Vault include una o più dashboard per te. Qualsiasi dashboard viene installata automaticamente dopo che hai configurato l'integrazione e Ops Agent ha iniziato a raccogliere i dati delle metriche.

Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.

Per visualizzare una dashboard installata:

Nella console Google Cloud, vai alla pagina Dashboard :
Vai a Dashboard

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Seleziona la scheda Elenco dashboard, quindi scegli la categoria Integrazioni.
Fai clic sul nome della dashboard che vuoi visualizzare.

Se hai configurato un'integrazione, ma la dashboard non è stata installata, verifica che Ops Agent sia in esecuzione. Se non sono presenti dati delle metriche per un grafico nella dashboard, l'installazione della dashboard non riesce. Dopo che Ops Agent inizia a raccogliere le metriche, la dashboard viene installata automaticamente.

Per visualizzare un'anteprima statica della dashboard:

Nella console Google Cloud, vai alla pagina Integrazioni:
Vai a Integrazioni

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Fai clic sul filtro della piattaforma di deployment di Compute Engine.
Individua la voce per Vault e fai clic su Visualizza dettagli.
Seleziona la scheda Dashboard per visualizzare un'anteprima statica. Se la dashboard è installata, puoi accedervi facendo clic su Visualizza dashboard.

Per ulteriori informazioni sulle dashboard in Cloud Monitoring, consulta Dashboard e grafici.

Per saperne di più sull'utilizzo della pagina Integrazioni, vedi Gestire le integrazioni.

Installa criteri di avviso

I criteri di avviso indicano a Cloud Monitoring di avvisarti quando si verificano condizioni specificate. L'integrazione di Vault include uno o più criteri di avviso che puoi utilizzare. Puoi visualizzare e installare questi criteri di avviso dalla pagina Integrazioni in Monitoring.

Per visualizzare le descrizioni dei criteri di avviso disponibili e installarli, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Integrazioni:
Vai a Integrazioni

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Individua la voce per Vault e fai clic su Visualizza dettagli.
Seleziona la scheda Avvisi. Questa scheda fornisce le descrizioni dei criteri di avviso disponibili e fornisce un'interfaccia per installarli.
Installa i criteri di avviso. I criteri di avviso devono sapere dove inviare le notifiche di attivazione dell'avviso, pertanto richiedono informazioni da parte tua per l'installazione. Per installare i criteri di avviso, segui questi passaggi:
1. Dall'elenco dei criteri di avviso disponibili, seleziona quelli che vuoi installare.
2. Nella sezione Configura notifiche, seleziona uno o più canali di notifica. Puoi scegliere di disabilitare l'utilizzo dei canali di notifica, ma in questo caso i criteri di avviso vengono attivati automaticamente. Puoi verificarne lo stato in Monitoring, ma non riceverai notifiche.
  
  Per maggiori informazioni sui canali di notifica, consulta la pagina relativa alla gestione dei canali di notifica.
3. Fai clic su Crea criteri.

Per ulteriori informazioni sui criteri di avviso in Cloud Monitoring, consulta Introduzione agli avvisi.

Per saperne di più sull'utilizzo della pagina Integrazioni, vedi Gestire le integrazioni.

Passaggi successivi

Per una procedura dettagliata su come utilizzare Ansible per installare Ops Agent, configurare un'applicazione di terze parti e installare una dashboard di esempio, guarda il video Installare Ops Agent per risolvere i problemi delle applicazioni di terze parti.