Hashicorp Vault

Vault adalah sistem pengelolaan enkripsi dan secret berbasis identitas. Integrasi ini mengumpulkan log audit Vault. Integrasi ini juga mengumpulkan metrik token, memori, dan penyimpanan.

Untuk mengetahui informasi selengkapnya tentang Vault, lihat dokumentasi Hashicorp Vault.

Prasyarat

Untuk mengumpulkan telemetri Vault, Anda harus menginstal Agen Operasional:

  • Untuk metrik, instal versi 2.18.2 atau yang lebih tinggi.
  • Untuk log, instal versi 2.18.1 atau yang lebih tinggi.

Integrasi ini mendukung Vault versi 1.6+.

Mengonfigurasi instance Vault

Untuk mengumpulkan telemetri dari instance Vault, Anda harus menetapkan kolom prometheus_retention_time ke nilai bukan nol dalam file konfigurasi HCL atau JSON Vault.

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

Selain itu, pengguna root diperlukan untuk mengaktifkan pengumpulan log audit dan membuat kebijakan ACL metrik prometheus. Token root digunakan untuk menambahkan kebijakan yang memiliki kemampuan baca ke endpoint /sys/metrics. Kebijakan ini digunakan untuk membuat token Vault dengan izin yang memadai untuk mengumpulkan metrik Vault.

Jika menginisialisasi Vault untuk pertama kalinya, Anda dapat menggunakan skrip berikut untuk membuat token root. Jika tidak, lihat Membuat Token Root Menggunakan Kunci Buka Segel untuk mengetahui informasi tentang cara membuat token root.

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Mengonfigurasi Agen Operasional untuk Vault

Dengan mengikuti panduan untuk Mengonfigurasi Agen Ops, tambahkan elemen yang diperlukan untuk mengumpulkan telemetri dari instance Vault, dan mulai ulang agen.

Contoh konfigurasi

Perintah berikut membuat konfigurasi untuk mengumpulkan dan menyerap telemetri untuk Vault dan memulai ulang Ops Agent.

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

Mengonfigurasi pengumpulan log

Untuk menyerap log dari Vault, Anda harus membuat penerima untuk log yang dihasilkan Vault, lalu membuat pipeline untuk penerima baru.

Untuk mengonfigurasi penerima log vault_audit, tentukan kolom berikut:

Kolom Default Deskripsi
exclude_paths Daftar pola jalur sistem file yang akan dikecualikan dari kumpulan yang dicocokkan oleh include_paths.
include_paths Daftar jalur sistem file yang akan dibaca dengan mengikuti setiap file. Karakter pengganti (*) dapat digunakan dalam jalur.
record_log_file_path false Jika ditetapkan ke true, jalur ke file tertentu tempat data log diperoleh akan muncul di entri log output sebagai nilai label agent.googleapis.com/log_file_path. Saat menggunakan karakter pengganti, hanya jalur file tempat data diperoleh yang dicatat.
type Nilai harus berupa vault_audit.
wildcard_refresh_interval 60s Interval saat jalur file karakter pengganti di include_paths diperbarui. Diberikan sebagai durasi waktu, misalnya 30s atau 2m. Properti ini mungkin berguna dalam throughput logging yang tinggi, dengan file log dirotasi lebih cepat daripada interval default.

Apa itu log?

logName berasal dari ID penerima yang ditentukan dalam konfigurasi. Kolom mendetail di dalam LogEntry adalah sebagai berikut.

Log vault_audit berisi kolom berikut di LogEntry:

Kolom Jenis Deskripsi
jsonPayload.auth struct
jsonPayload.auth.accessor string Ini adalah HMAC dari pengakses token klien.
jsonPayload.auth.client_token string Ini adalah HMAC dari ID token klien.
jsonPayload.auth.display_name string Ini adalah nama tampilan yang ditetapkan oleh peran metode autentikasi atau secara eksplisit pada waktu pembuatan secret.
jsonPayload.auth.entity_id string Ini adalah ID entitas token.
jsonPayload.auth.metadata objek Ini akan berisi daftar pasangan nilai kunci metadata yang terkait dengan client_token.
jsonPayload.auth.policies objek Ini akan berisi daftar kebijakan yang terkait dengan client_token.
jsonPayload.auth.token_type string
jsonPayload.error string Jika terjadi error pada permintaan, pesan error akan disertakan dalam nilai kolom ini.
jsonPayload.request struct
jsonPayload.request.client_token string Ini adalah HMAC dari ID token klien.
jsonPayload.request.client_token_accessor string Ini adalah HMAC dari pengakses token klien.
jsonPayload.request.data objek Objek data akan berisi data rahasia dalam key-value pair.
jsonPayload.request.headers objek Header HTTP tambahan yang ditentukan oleh klien sebagai bagian dari permintaan.
jsonPayload.request.id string Ini adalah ID permintaan unik.
jsonPayload.request.namespace.id string
jsonPayload.request.operation string Ini adalah jenis operasi yang sesuai dengan kemampuan jalur dan diharapkan merupakan salah satu dari: create, read, update, delete, atau list.
jsonPayload.request.path string Jalur Vault yang diminta untuk operasi.
jsonPayload.request.policy_override boolean Ini adalah true saat penggantian kebijakan wajib-lunak diminta.
jsonPayload.request.remote_address string Alamat IP klien yang membuat permintaan.
jsonPayload.request.wrap_ttl string Jika token digabungkan, tindakan ini akan menampilkan nilai TTL digabungkan yang dikonfigurasi sebagai string numerik.
jsonPayload.response struct
jsonPayload.response.data.accessor string Ini adalah HMAC dari pengakses token klien.
jsonPayload.response.data.creation_time string Stempel waktu format RFC 3339 pembuatan token.
jsonPayload.response.data.creation_ttl string TTL pembuatan token dalam detik.
jsonPayload.response.data.display_name string Ini adalah nama tampilan yang ditetapkan oleh peran metode autentikasi atau secara eksplisit pada waktu pembuatan secret.
jsonPayload.response.data.entity_id string Ini adalah ID entitas token.
jsonPayload.response.data.expire_time string Stempel waktu format RFC 3339 yang mewakili saat token ini akan berakhir masa berlakunya.
jsonPayload.response.data.explicit_max_ttl string Nilai TTL maksimum token eksplisit dalam detik ("0" jika tidak ditetapkan).
jsonPayload.response.data.id string Ini adalah ID respons unik.
jsonPayload.response.data.issue_time string Stempel waktu format RFC 3339.
jsonPayload.response.data.num_uses angka Jika token dibatasi untuk sejumlah penggunaan, nilai tersebut akan direpresentasikan di sini.
jsonPayload.response.data.orphan boolean Nilai boolean yang menunjukkan apakah token adalah token yatim.
jsonPayload.response.data.path string Jalur Vault yang diminta untuk operasi.
jsonPayload.response.data.policies objek Ini akan berisi daftar kebijakan yang terkait dengan client_token.
jsonPayload.response.data.renewable boolean Nilai boolean yang menunjukkan apakah token adalah token yatim.
jsonPayload.type string Jenis log audit.
severity string (LogSeverity) Level entri log (diterjemahkan).

Mengonfigurasi pengumpulan metrik

Untuk menyerap metrik dari Vault, Anda harus membuat penerima untuk metrik yang dihasilkan Vault, lalu membuat pipeline untuk penerima baru.

Penerima ini tidak mendukung penggunaan beberapa instance dalam konfigurasi, misalnya, untuk memantau beberapa endpoint. Semua instance tersebut menulis ke deret waktu yang sama, dan Cloud Monitoring tidak dapat membedakannya.

Untuk mengonfigurasi penerima metrik vault, tentukan kolom berikut:

Kolom Default Deskripsi
ca_file Jalur ke sertifikat CA. Sebagai klien, tindakan ini akan memverifikasi sertifikat server. Jika kosong, penerima akan menggunakan CA root sistem.
cert_file Jalur ke sertifikat TLS yang akan digunakan untuk koneksi yang memerlukan mTLS.
collection_interval 60s Nilai durasi waktu, seperti 30s atau 5m.
endpoint localhost:8200 'hostname:port' yang digunakan oleh Vault.
insecure true Menetapkan apakah akan menggunakan koneksi TLS yang aman atau tidak. Jika ditetapkan ke false, TLS akan diaktifkan.
insecure_skip_verify false Menetapkan apakah akan melewati verifikasi sertifikat atau tidak. Jika insecure ditetapkan ke true, nilai insecure_skip_verify tidak akan digunakan.
key_file Jalur ke kunci TLS yang akan digunakan untuk koneksi yang memerlukan mTLS.
metrics_path /v1/sys/metrics Jalur untuk pengumpulan metrik.
token localhost:8200 Token yang digunakan untuk autentikasi.
type Nilai ini harus vault.

Yang dipantau

Tabel berikut memberikan daftar metrik yang dikumpulkan Ops Agent dari instance Vault.

Jenis metrik 
Jenis, Tipe
Resource yang dimonitor
Label
workload.googleapis.com/vault.audit.request.failed
CUMULATIVEINT64
gce_instance
 
workload.googleapis.com/vault.audit.response.failed
CUMULATIVEINT64
gce_instance
 
workload.googleapis.com/vault.core.leader.duration
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/vault.core.request.count
GAUGEINT64
gce_instance
cluster
workload.googleapis.com/vault.memory.usage
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/vault.storage.operation.delete.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.delete.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.get.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.get.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.list.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.list.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.storage.operation.put.count
CUMULATIVEINT64
gce_instance
storage
workload.googleapis.com/vault.storage.operation.put.time
CUMULATIVEDOUBLE
gce_instance
storage
workload.googleapis.com/vault.token.count
GAUGEINT64
gce_instance
cluster
namespace
workload.googleapis.com/vault.token.lease.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/vault.token.renew.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/vault.token.revoke.time
GAUGEINT64
gce_instance
 

Memverifikasi konfigurasi

Bagian ini menjelaskan cara memverifikasi bahwa Anda telah mengonfigurasi penerima Vault dengan benar. Mungkin perlu waktu satu atau dua menit agar Ops Agent mulai mengumpulkan telemetri.

Untuk memverifikasi bahwa log Vault dikirim ke Cloud Logging, lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman Logs Explorer:

    Buka Logs Explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Masukkan kueri berikut di editor, lalu klik Run query:
    resource.type="gce_instance"
    log_id("vault_audit")
    

Untuk memverifikasi bahwa metrik Vault dikirim ke Cloud Monitoring, lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman  Metrics explorer:

    Buka Metrics explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Di toolbar panel pembuat kueri, pilih tombol yang namanya adalah  MQL atau  PromQL.
  3. Pastikan MQL dipilih di tombol Language. Tombol bahasa berada di toolbar yang sama yang memungkinkan Anda memformat kueri.
  4. Masukkan kueri berikut di editor, lalu klik Run query:
    fetch gce_instance
    | metric 'workload.googleapis.com/vault.memory.usage'
    | every 1m
    

Lihat dasbor

Untuk melihat metrik Vault, Anda harus mengonfigurasi diagram atau dasbor. Integrasi Vault menyertakan satu atau beberapa dasbor untuk Anda. Dasbor apa pun akan otomatis diinstal setelah Anda mengonfigurasi integrasi dan Agen Operasional telah mulai mengumpulkan data metrik.

Anda juga dapat melihat pratinjau statis dasbor tanpa menginstal integrasi.

Untuk melihat dasbor yang terinstal, lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman  Dasbor:

    Buka Dasbor

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pilih tab Daftar Dasbor, lalu pilih kategori Integrasi.
  3. Klik nama dasbor yang ingin Anda lihat.

Jika Anda telah mengonfigurasi integrasi, tetapi dasbor belum diinstal, pastikan Agen Operasional berjalan. Jika tidak ada data metrik untuk diagram di dasbor, penginstalan dasbor akan gagal. Setelah Ops Agent mulai mengumpulkan metrik, dasbor akan diinstal untuk Anda.

Untuk melihat pratinjau statis dasbor, lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman  Integrations:

    Buka Integrations

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Klik filter platform deployment Compute Engine.
  3. Temukan entri untuk Vault dan klik Lihat Detail.
  4. Pilih tab Dasbor untuk melihat pratinjau statis. Jika dasbor telah diinstal, Anda dapat membukanya dengan mengklik Lihat dasbor.

Untuk mengetahui informasi selengkapnya tentang dasbor di Cloud Monitoring, lihat Dasbor dan diagram.

Untuk informasi selengkapnya tentang cara menggunakan halaman Integrasi, lihat Mengelola integrasi.

Menginstal kebijakan pemberitahuan

Kebijakan pemberitahuan menginstruksikan Cloud Monitoring untuk memberi tahu Anda saat kondisi yang ditentukan terjadi. Integrasi Vault menyertakan satu atau beberapa kebijakan pemberitahuan untuk Anda gunakan. Anda dapat melihat dan menginstal kebijakan pemberitahuan ini dari halaman Integrasi di Monitoring.

Untuk melihat deskripsi kebijakan pemberitahuan yang tersedia dan menginstalnya, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman  Integrations:

    Buka Integrations

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Temukan entri untuk Vault dan klik Lihat Detail.
  3. Pilih tab Notifikasi. Tab ini memberikan deskripsi tentang kebijakan pemberitahuan yang tersedia dan menyediakan antarmuka untuk menginstalnya.
  4. Instal kebijakan pemberitahuan. Kebijakan pemberitahuan perlu mengetahui tempat untuk mengirim notifikasi bahwa pemberitahuan telah dipicu, sehingga memerlukan informasi dari Anda untuk penginstalan. Untuk menginstal kebijakan pemberitahuan, lakukan hal berikut:
    1. Dari daftar kebijakan pemberitahuan yang tersedia, pilih kebijakan yang ingin Anda instal.
    2. Di bagian Konfigurasi notifikasi, pilih satu atau beberapa saluran notifikasi. Anda memiliki opsi untuk menonaktifkan penggunaan saluran notifikasi, tetapi jika Anda melakukannya, kebijakan pemberitahuan akan diaktifkan secara otomatis. Anda dapat memeriksa statusnya di Pemantauan, tetapi Anda tidak menerima notifikasi.

      Untuk informasi selengkapnya tentang saluran notifikasi, lihat Mengelola saluran notifikasi.

    3. Klik Create Policies.

Untuk informasi selengkapnya tentang kebijakan pemberitahuan di Cloud Monitoring, lihat Pengantar pemberitahuan.

Untuk informasi selengkapnya tentang cara menggunakan halaman Integrasi, lihat Mengelola integrasi.

Langkah selanjutnya

Untuk panduan tentang cara menggunakan Ansible untuk menginstal Agen Operasional, mengonfigurasi aplikasi pihak ketiga, dan menginstal contoh dasbor, lihat video Menginstal Agen Operasional untuk memecahkan masalah aplikasi pihak ketiga.