Vault adalah sistem pengelolaan enkripsi dan rahasia berbasis identitas. Integrasi ini mengumpulkan log audit Vault. Integrasi tersebut juga mengumpulkan metrik token, memori, dan penyimpanan.
Untuk mengetahui informasi selengkapnya tentang Vault, lihat dokumentasi Hashicorp Vault.
Prasyarat
Untuk mengumpulkan telemetri Vault, Anda harus menginstal Agen Operasional:
- Untuk metrik, instal versi 2.18.2 atau yang lebih baru.
- Untuk log, instal versi 2.18.1 atau yang lebih baru.
Integrasi ini mendukung Vault versi 1.6 dan yang lebih baru.
Mengonfigurasi instance Vault
Untuk mengumpulkan telemetri dari instance Vault, Anda harus menetapkan kolom prometheus_retention_time
ke nilai bukan nol di file konfigurasi HCL atau JSON Vault.
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
Selain itu, pengguna root diperlukan untuk mengaktifkan pengumpulan log audit dan membuat kebijakan ACL prometheus-metrics.
Token root digunakan untuk menambahkan kebijakan yang memiliki kemampuan baca ke endpoint /sys/metrics
.
Kebijakan ini digunakan untuk membuat token Vault dengan izin yang memadai untuk mengumpulkan metrik Vault.
Jika Anda menginisialisasi Vault untuk pertama kalinya, Anda dapat menggunakan skrip berikut untuk membuat token root. Jika tidak, lihat artikel Membuat Token Root Menggunakan Kunci Unseal untuk mengetahui informasi tentang cara membuat token root.
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
Mengonfigurasi Agen Operasional untuk Vault
Dengan mengikuti panduan untuk Mengonfigurasi Agen Operasional, tambahkan elemen yang diperlukan untuk mengumpulkan telemetri dari instance Vault, dan mulai ulang agen.
Contoh konfigurasi
Perintah berikut membuat konfigurasi untuk mengumpulkan dan menyerap telemetri untuk Vault serta memulai ulang Agen Operasional.
Mengonfigurasi koleksi log
Untuk menyerap log dari Vault, Anda harus membuat penerima untuk log yang dihasilkan Vault, lalu membuat pipeline untuk penerima baru.
Untuk mengonfigurasi penerima log vault_audit
, tentukan kolom berikut:
Kolom | Default | Deskripsi |
---|---|---|
exclude_paths |
Daftar pola jalur sistem file yang akan dikecualikan dari kumpulan yang cocok dengan include_paths . |
|
include_paths |
Daftar jalur sistem file yang akan dibaca dengan tailing setiap file. Karakter pengganti (* ) dapat digunakan di jalur. |
|
record_log_file_path |
false |
Jika ditetapkan ke true , jalur ke file tertentu tempat data log diperoleh akan muncul di entri log output sebagai nilai label agent.googleapis.com/log_file_path . Saat menggunakan karakter pengganti, hanya jalur file tempat data diperoleh yang akan dicatat. |
type |
Nilai harus berupa vault_audit . |
|
wildcard_refresh_interval |
60s |
Interval tempat jalur file karakter pengganti di include_paths dimuat ulang. Diberikan sebagai durasi waktu, misalnya 30s atau 2m . Properti ini mungkin berguna pada throughput logging yang tinggi dengan file log dirotasi lebih cepat daripada interval default. |
Apa itu log?
logName
berasal dari
ID penerima yang ditentukan dalam konfigurasi. Kolom mendetail di dalam
LogEntry
adalah sebagai berikut.
Log vault_audit
berisi kolom berikut di LogEntry
:
Kolom | Jenis | Deskripsi |
---|---|---|
jsonPayload.auth |
struct | |
jsonPayload.auth.accessor |
string | Ini adalah HMAC dari pengakses token klien. |
jsonPayload.auth.client_token |
string | Ini adalah HMAC dari ID token klien. |
jsonPayload.auth.display_name |
string | Ini adalah nama tampilan yang ditetapkan oleh peran metode autentikasi atau secara eksplisit pada waktu pembuatan rahasia. |
jsonPayload.auth.entity_id |
string | Ini adalah ID entitas token. |
jsonPayload.auth.metadata |
objek | Ini akan berisi daftar pasangan kunci/nilai metadata yang terkait dengan client_token. |
jsonPayload.auth.policies |
objek | File ini akan berisi daftar kebijakan yang terkait dengan client_token. |
jsonPayload.auth.token_type |
string | |
jsonPayload.error |
string | Jika terjadi error pada permintaan, pesan error akan disertakan dalam nilai kolom ini. |
jsonPayload.request |
struct | |
jsonPayload.request.client_token |
string | Ini adalah HMAC dari ID token klien. |
jsonPayload.request.client_token_accessor |
string | Ini adalah HMAC dari pengakses token klien. |
jsonPayload.request.data |
objek | Objek data akan berisi data rahasia dalam pasangan kunci/nilai. |
jsonPayload.request.headers |
objek | Header HTTP tambahan yang ditentukan oleh klien sebagai bagian dari permintaan. |
jsonPayload.request.id |
string | Ini adalah ID permintaan unik. |
jsonPayload.request.namespace.id |
string | |
jsonPayload.request.operation |
string | Ini adalah jenis operasi yang sesuai dengan kemampuan jalur dan diharapkan berupa salah satu dari: create , read , update , delete , atau list . |
jsonPayload.request.path |
string | Jalur Vault yang diminta untuk operasi. |
jsonPayload.request.policy_override |
boolean | Ini adalah true saat penggantian kebijakan wajib sementara diminta. |
jsonPayload.request.remote_address |
string | Alamat IP klien yang membuat permintaan. |
jsonPayload.request.wrap_ttl |
string | Jika token digabungkan, nilai TTL gabungan yang telah dikonfigurasi akan ditampilkan sebagai string numerik. |
jsonPayload.response |
struct | |
jsonPayload.response.data.accessor |
string | Ini adalah HMAC dari pengakses token klien. |
jsonPayload.response.data.creation_time |
string | Stempel waktu format RFC 3339 pembuatan token. |
jsonPayload.response.data.creation_ttl |
string | TTL pembuatan token dalam hitungan detik. |
jsonPayload.response.data.display_name |
string | Ini adalah nama tampilan yang ditetapkan oleh peran metode autentikasi atau secara eksplisit pada waktu pembuatan rahasia. |
jsonPayload.response.data.entity_id |
string | Ini adalah ID entitas token. |
jsonPayload.response.data.expire_time |
string | Stempel waktu format RFC 3339 yang menunjukkan kapan token ini akan berakhir masa berlakunya. |
jsonPayload.response.data.explicit_max_ttl |
string | Nilai TTL maksimum token eksplisit sebagai detik ("0" jika tidak ditetapkan). |
jsonPayload.response.data.id |
string | ID ini adalah ID respons unik. |
jsonPayload.response.data.issue_time |
string | Stempel waktu format RFC 3339. |
jsonPayload.response.data.num_uses |
angka | Jika token dibatasi untuk sejumlah penggunaan, nilai tersebut akan direpresentasikan di sini. |
jsonPayload.response.data.orphan |
boolean | Nilai Boolean yang mewakili apakah token tersebut berstatus orphan atau bukan. |
jsonPayload.response.data.path |
string | Jalur Vault yang diminta untuk operasi. |
jsonPayload.response.data.policies |
objek | File ini akan berisi daftar kebijakan yang terkait dengan client_token. |
jsonPayload.response.data.renewable |
boolean | Nilai Boolean yang mewakili apakah token tersebut berstatus orphan atau bukan. |
jsonPayload.type |
string | Jenis log audit. |
severity |
string | |
timestamp |
string (Timestamp ) |
Waktu permintaan diterima |
Mengonfigurasi pengumpulan metrik
Untuk menyerap metrik dari Vault, Anda harus membuat penerima untuk metrik yang dihasilkan Vault, lalu membuat pipeline untuk penerima baru tersebut.
Penerima ini tidak mendukung penggunaan beberapa instance dalam konfigurasi, misalnya, untuk memantau beberapa endpoint. Semua instance tersebut menulis ke deret waktu yang sama, dan Cloud Monitoring tidak memiliki cara untuk membedakannya.
Untuk mengonfigurasi penerima metrik vault
, tentukan kolom berikut:
Kolom | Default | Deskripsi |
---|---|---|
ca_file |
Jalur ke sertifikat CA. Sebagai klien, tindakan ini akan memverifikasi sertifikat server. Jika kosong, penerima akan menggunakan CA root sistem. | |
cert_file |
Jalur ke sertifikat TLS yang akan digunakan untuk koneksi yang diperlukan mTLS. | |
collection_interval |
60s |
Nilai time.Duration , seperti 30s atau 5m . |
endpoint |
localhost:8200 |
'Hostname:port' yang digunakan oleh vault |
insecure |
true |
Menyetel apakah akan menggunakan koneksi TLS aman atau tidak. Jika disetel ke false , TLS akan diaktifkan. |
insecure_skip_verify |
false |
Menetapkan apakah akan melewati proses verifikasi sertifikat atau tidak. Jika insecure ditetapkan ke true , nilai 'insecure_skip_verify` tidak akan digunakan. |
key_file |
Jalur ke kunci TLS yang akan digunakan untuk koneksi yang diperlukan mTLS. | |
metrics_path |
/v1/sys/metrics |
Jalur untuk pengumpulan metrik. |
token |
localhost:8200 |
Token yang digunakan untuk autentikasi. |
type |
Nilai ini harus vault . |
Hal yang dipantau
Tabel berikut menyediakan daftar metrik yang dikumpulkan Agen Operasional dari instance Vault.
Jenis metrik | |
---|---|
Jenis, Jenis Resource yang dipantau |
Label |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE , INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE , INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE , DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE , INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE , DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE , INT64 gce_instance |
namespace
cluster
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE , INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE , INT64 gce_instance |
Memverifikasi konfigurasi
Bagian ini menjelaskan cara memverifikasi bahwa Anda mengonfigurasi penerima Vault dengan benar. Mungkin perlu waktu satu atau dua menit bagi Agen Operasional untuk mulai mengumpulkan telemetri.
Untuk memastikan bahwa log Vault dikirim ke Cloud Logging, lakukan hal berikut:
-
Pada panel navigasi Google Cloud Console, pilih Logging, lalu pilih Logs Explorer:
- Masukkan kueri berikut di editor, lalu klik Run query:
resource.type="gce_instance" log_id("vault_audit")
Untuk memverifikasi bahwa metrik Vault dikirim ke Cloud Monitoring, lakukan hal berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih leaderboard Metrics Explorer:
- Di toolbar panel pembuat kueri, pilih tombol yang namanya adalah code MQL atau code PromQL.
- Pastikan MQL dipilih pada tombol Language. Tombol bahasa berada di toolbar yang sama dengan yang memungkinkan Anda memformat kueri.
- Masukkan kueri berikut di editor, lalu klik Run query:
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
Lihat dasbor
Untuk melihat metrik Vault, Anda harus mengonfigurasi diagram atau dasbor. Integrasi Vault menyertakan satu atau beberapa dasbor untuk Anda. Setiap dasbor akan otomatis diinstal setelah Anda mengonfigurasi integrasi dan Agen Operasional mulai mengumpulkan data metrik.
Anda juga dapat melihat pratinjau statis dasbor tanpa menginstal integrasi.
Untuk melihat dasbor yang terinstal, lakukan hal berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih Dashboards:
- Pilih tab Dashboard List, lalu pilih kategori Integrations.
- Klik nama dasbor yang ingin Anda lihat.
Jika Anda telah mengonfigurasi integrasi, tetapi dasbor belum diinstal, periksa apakah Agen Operasional sedang berjalan. Jika tidak ada data metrik untuk diagram di dasbor, penginstalan dasbor akan gagal. Setelah Agen Operasional mulai mengumpulkan metrik, dasbor akan diinstal untuk Anda.
Untuk melihat pratinjau statis dasbor, lakukan langkah berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih Integrations:
- Klik filter platform deployment Compute Engine.
- Temukan entri untuk Vault, lalu klik View Details.
- Pilih tab Dashboards untuk melihat pratinjau statis. Jika dasbor sudah terinstal, Anda dapat membukanya dengan mengklik View dashboard.
Untuk informasi selengkapnya tentang dasbor di Cloud Monitoring, lihat Dasbor dan diagram.
Untuk mengetahui informasi selengkapnya tentang penggunaan halaman Integrasi, lihat Mengelola integrasi.
Menginstal kebijakan pemberitahuan
Kebijakan pemberitahuan menginstruksikan Cloud Monitoring untuk memberi tahu Anda saat kondisi tertentu terjadi. Integrasi Vault mencakup satu atau beberapa kebijakan pemberitahuan yang dapat Anda gunakan. Anda dapat melihat dan menginstal kebijakan pemberitahuan ini dari halaman Integrations di Monitoring.
Untuk melihat deskripsi kebijakan pemberitahuan yang tersedia dan menginstalnya, lakukan langkah berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih Integrations:
- Temukan entri untuk Vault, lalu klik View Details.
- Pilih tab Alerts. Tab ini memberikan deskripsi tentang kebijakan pemberitahuan yang tersedia dan menyediakan antarmuka untuk menginstalnya.
- Instal kebijakan pemberitahuan. Kebijakan pemberitahuan perlu mengetahui ke mana pemberitahuan harus dikirimkan jika pemberitahuan telah dipicu, sehingga memerlukan informasi dari Anda untuk penginstalan.
Untuk menginstal kebijakan pemberitahuan, lakukan tindakan berikut:
- Dari daftar kebijakan pemberitahuan yang tersedia, pilih yang ingin Anda instal.
Di bagian Configure notifications, pilih satu atau beberapa saluran notifikasi. Anda memiliki opsi untuk menonaktifkan penggunaan saluran notifikasi. Namun, jika Anda melakukannya, kebijakan pemberitahuan akan diaktifkan secara diam-diam. Anda dapat memeriksa statusnya di Monitoring, tetapi Anda tidak akan menerima notifikasi.
Untuk informasi lebih lanjut tentang saluran notifikasi, lihat Mengelola saluran notifikasi.
- Klik Create Policy.
Untuk mengetahui informasi selengkapnya tentang kebijakan pemberitahuan di Cloud Monitoring, lihat Pengantar pemberitahuan.
Untuk mengetahui informasi selengkapnya tentang penggunaan halaman Integrasi, lihat Mengelola integrasi.
Langkah selanjutnya
Untuk panduan cara menggunakan Ansible untuk menginstal Agen Operasional, mengonfigurasi aplikasi pihak ketiga, dan menginstal contoh dasbor, lihat video Menginstal Agen Operasional untuk memecahkan masalah aplikasi pihak ketiga.