Vault 是基于身份的密钥和加密管理系统。此集成会收集 Vault 的审核日志,还会收集令牌、内存和存储指标。
如需详细了解 Vault,请参阅 Hashicorp Vault 文档。
前提条件
如需收集 Vault 遥测数据,您必须安装 Ops Agent:
- 对于指标,请安装 2.18.2 版或更高版本。
- 对于日志,请安装 2.18.1 版或更高版本。
此集成支持 Vault 1.6+ 版。
配置 Vault 实例
如需从 Vault 实例收集遥测数据,您必须将 HCL 或 JSON Vault 配置文件中的 prometheus_retention_time
字段设置为非零值。
Full configuration options can be found at https://www.vaultproject.io/docs/configuration telemetry { prometheus_retention_time = "10m" disable_hostname = false }
此外,必须具有根用户身份才能启用审核日志收集和创建 prometheus-metrics ACL 政策。根令牌用于添加具有 /sys/metrics
端点的读取权限的政策。此政策用于创建具有足够权限的 Vault 令牌,以收集 Vault 指标。
如果您是首次初始化 Vault,则可以使用以下脚本生成根令牌。否则,请参阅使用解封密钥生成根令牌,了解如何生成根令牌。
export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1' .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY
# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log
# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
capabilities = ["read"]
}
EOF
# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token
为 Vault 配置 Ops Agent
按照配置 Ops Agent 指南 代理时,请添加所需的元素 从保险柜实例收集遥测数据,以及 重启代理。
配置示例
以下命令会创建相关配置来收集和注入 Vault 的遥测数据,并重启 Ops Agent。
配置日志收集
如需从 Vault 注入日志,您必须为 Vault 生成的日志创建接收器,然后为新的接收器创建流水线。
如需为 vault_audit
日志配置接收器,请指定以下字段:
字段 | 默认值 | 说明 |
---|---|---|
exclude_paths |
要从 include_paths 匹配的集合中排除的文件系统路径模式列表。 |
|
include_paths |
要通过对每个文件执行 tail 来读取的文件系统路径列表。路径中可以使用通配符 (* )。 |
|
record_log_file_path |
false |
如果设置为 true ,则从中获取日志记录的特定文件的路径将作为 agent.googleapis.com/log_file_path 标签的值显示在输出日志条目中。使用通配符时,系统只会记录从中获取记录的文件的路径。 |
type |
该值必须为 vault_audit 。 |
|
wildcard_refresh_interval |
60s |
include_paths 中通配符文件路径的刷新间隔。指定为时长,例如 30s 或 2m 。该属性在高日志记录吞吐量下可能很有用,因为日志文件的轮替速度快于默认时间间隔。 |
记录的内容
logName
派生自配置中指定的接收器 ID。LogEntry
中的详细字段如下所示。
vault_audit
日志包含 LogEntry
中的以下字段:
字段 | 类型 | 说明 |
---|---|---|
jsonPayload.auth |
结构体 | |
jsonPayload.auth.accessor |
字符串 | 客户端令牌访问器的 HMAC。 |
jsonPayload.auth.client_token |
字符串 | 客户端令牌 ID 的 HMAC。 |
jsonPayload.auth.display_name |
字符串 | 身份验证方法角色设置的显示名称,或创建密文时明确设置的显示名称。 |
jsonPayload.auth.entity_id |
字符串 | 令牌实体标识符。 |
jsonPayload.auth.metadata |
对象 | 包含与 client_token 关联的元数据键值对列表。 |
jsonPayload.auth.policies |
对象 | 包含与 client_token 关联的政策列表。 |
jsonPayload.auth.token_type |
字符串 | |
jsonPayload.error |
字符串 | 如果请求发生错误,则错误消息会包含在此字段的值中。 |
jsonPayload.request |
结构体 | |
jsonPayload.request.client_token |
字符串 | 客户端令牌 ID 的 HMAC。 |
jsonPayload.request.client_token_accessor |
字符串 | 客户端令牌访问器的 HMAC。 |
jsonPayload.request.data |
对象 | 数据对象包含键值对中的密文数据。 |
jsonPayload.request.headers |
对象 | 客户端在请求中指定的额外 HTTP 标头。 |
jsonPayload.request.id |
字符串 | 唯一请求标识符。 |
jsonPayload.request.namespace.id |
字符串 | |
jsonPayload.request.operation |
字符串 | 与路径功能相对应的操作类型,应为 create 、read 、update 、delete 或 list 之一。 |
jsonPayload.request.path |
字符串 | 操作请求的 Vault 路径。 |
jsonPayload.request.policy_override |
布尔值 | 当请求软强制政策替换时,此值为 true 。 |
jsonPayload.request.remote_address |
字符串 | 发出请求的客户端的 IP 地址。 |
jsonPayload.request.wrap_ttl |
字符串 | 如果令牌已封装,这会将配置的封装 TTL 值显示为数字字符串。 |
jsonPayload.response |
结构体 | |
jsonPayload.response.data.accessor |
字符串 | 客户端令牌访问器的 HMAC。 |
jsonPayload.response.data.creation_time |
字符串 | 创建令牌的 RFC 3339 格式时间戳。 |
jsonPayload.response.data.creation_ttl |
字符串 | 令牌创建 TTL(以秒为单位)。 |
jsonPayload.response.data.display_name |
字符串 | 身份验证方法角色设置的显示名称,或创建密文时明确设置的显示名称。 |
jsonPayload.response.data.entity_id |
字符串 | 令牌实体标识符。 |
jsonPayload.response.data.expire_time |
字符串 | 表示令牌到期时间的 RFC 3339 格式时间戳。 |
jsonPayload.response.data.explicit_max_ttl |
字符串 | 显式令牌最大 TTL 值,以秒为单位(如果未设置,则为“0”)。 |
jsonPayload.response.data.id |
字符串 | 唯一响应标识符。 |
jsonPayload.response.data.issue_time |
字符串 | RFC 3339 格式时间戳。 |
jsonPayload.response.data.num_uses |
数字 | 如果令牌的使用次数有限,则将在此处表示该值。 |
jsonPayload.response.data.orphan |
布尔值 | 表示令牌是否孤立的布尔值。 |
jsonPayload.response.data.path |
字符串 | 操作请求的 Vault 路径。 |
jsonPayload.response.data.policies |
对象 | 包含与 client_token 关联的政策列表。 |
jsonPayload.response.data.renewable |
布尔值 | 表示令牌是否孤立的布尔值。 |
jsonPayload.type |
字符串 | 审核日志的类型。 |
severity |
字符串 (LogSeverity ) |
日志条目级别(已转换)。 |
配置指标收集
如需从保险柜注入指标,您必须为保险柜生成的指标创建接收器,然后为新的接收器创建流水线。
此接收器不支持在配置中使用多个实例,例如,监控多个端点。所有这些实例都会写入相同的时序,并且 Cloud Monitoring 无法区分它们。
如需为 vault
指标配置接收器,请指定以下字段:
字段 | 默认值 | 说明 |
---|---|---|
ca_file |
CA 证书的路径。作为客户端,此字段会验证服务器证书。如果为空,则接收器使用系统根 CA。 | |
cert_file |
用于要求 mTLS 的连接的 TLS 证书的路径。 | |
collection_interval |
60s |
时长值,例如 30s 或 5m 。 |
endpoint |
localhost:8200 |
Vault 使用的“hostname:port”。 |
insecure |
true |
设置是否使用安全 TLS 连接。如果设置为 false ,则启用 TLS。 |
insecure_skip_verify |
false |
设置是否跳过证书验证。如果 insecure 设置为 true ,则不使用 insecure_skip_verify 值。 |
key_file |
用于要求 mTLS 的连接的 TLS 密钥的路径。 | |
metrics_path |
/v1/sys/metrics |
指标收集的路径。 |
token |
localhost:8200 |
用于身份验证的令牌。 |
type |
该值必须为 vault 。 |
监控的内容
下表提供了 Ops Agent 从 Vault 实例收集的指标列表。
指标类型 | |
---|---|
种类、类型 受监控的资源 |
标签 |
workload.googleapis.com/vault.audit.request.failed
|
|
CUMULATIVE 、INT64 gce_instance |
|
workload.googleapis.com/vault.audit.response.failed
|
|
CUMULATIVE 、INT64 gce_instance |
|
workload.googleapis.com/vault.core.leader.duration
|
|
GAUGE 、DOUBLE gce_instance |
|
workload.googleapis.com/vault.core.request.count
|
|
GAUGE 、INT64 gce_instance |
cluster
|
workload.googleapis.com/vault.memory.usage
|
|
GAUGE 、DOUBLE gce_instance |
|
workload.googleapis.com/vault.storage.operation.delete.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.delete.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.get.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.list.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.count
|
|
CUMULATIVE 、INT64 gce_instance |
storage
|
workload.googleapis.com/vault.storage.operation.put.time
|
|
CUMULATIVE 、DOUBLE gce_instance |
storage
|
workload.googleapis.com/vault.token.count
|
|
GAUGE 、INT64 gce_instance |
cluster namespace
|
workload.googleapis.com/vault.token.lease.count
|
|
GAUGE 、INT64 gce_instance |
|
workload.googleapis.com/vault.token.renew.time
|
|
GAUGE 、INT64 gce_instance |
|
workload.googleapis.com/vault.token.revoke.time
|
|
GAUGE 、INT64 gce_instance |
验证配置
本部分介绍如何验证您是否正确配置了 Vault 接收器。Ops Agent 可能需要一两分钟才会开始收集遥测数据。
如需验证 Vault 日志是否已发送到 Cloud Logging,请执行以下操作:
-
在 Google Cloud 控制台中,转到 Logs Explorer 页面。
如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。
- 在编辑器中输入以下查询,然后点击运行查询:
resource.type="gce_instance" log_id("vault_audit")
如需验证 Vault 指标是否已发送到 Cloud Monitoring,请执行以下操作:
-
在 Google Cloud 控制台中,转到 leaderboard Metrics Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 在查询构建器窗格的工具栏中,选择名为 code MQL 或 code MQL 的按钮。
- 验证已在MQL切换开关中选择 MQL。语言切换开关位于同一工具栏中,用于设置查询的格式。
- 在编辑器中输入以下查询,然后点击运行查询:
fetch gce_instance | metric 'workload.googleapis.com/vault.memory.usage' | every 1m
查看信息中心
如需查看保险柜指标,您必须配置一个图表或信息中心。 保险柜集成服务可为您提供一个或多个信息中心。在您配置集成并且 Ops Agent 开始收集指标数据后,所有信息中心都会自动安装。
您还可以在不安装集成的情况下查看信息中心的静态预览。
如需查看已安装的信息中心,请执行以下操作:
-
在 Google Cloud 控制台中,转到 信息中心页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 选择信息中心列表标签页,然后选择集成类别。
- 点击您要查看的信息中心的名称。
如果您已配置集成,但尚未安装信息中心,请检查 Ops Agent 是否正在运行。如果信息中心内没有图表的指标数据,则信息中心的安装将失败。Ops Agent 开始收集指标后,系统会为您安装信息中心。
如需查看信息中心的静态预览,请执行以下操作:
-
在 Google Cloud 控制台中,转到 集成页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 点击 Compute Engine 部署平台过滤条件。
- 找到保险柜的条目,然后点击查看详细信息。
- 选择信息中心标签页以查看静态预览。如果信息中心已安装,您可以通过点击查看信息中心来转到信息中心。
如需详细了解 Cloud Monitoring 中的信息中心,请参阅信息中心和图表。
如需详细了解如何使用集成页面,请参阅管理集成。
安装提醒政策
提醒政策会指示 Cloud Monitoring 在满足指定条件时通知您。 保险柜集成服务可提供一项或多项提醒政策供您使用。您可以从 Monitoring 中的集成页面查看和安装这些提醒政策。
如需查看可用提醒政策的说明并安装它们,请执行以下操作:
-
在 Google Cloud 控制台中,转到 集成页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 找到保险柜的条目,然后点击查看详细信息。
- 选择提醒标签页。此标签页提供可用提醒政策的说明,并提供一个安装政策的界面。
- 安装提醒政策。提醒政策需要知道将提醒触发的通知发送到何处,因此它们需要您提供信息才能进行安装。如需安装提醒政策,请执行以下操作:
- 从可用提醒政策列表中,选择您要安装的提醒政策。
在配置通知部分中,选择一个或多个通知渠道。您可以选择禁止使用通知渠道,但如果您这样做,则您的提醒政策将以静默方式触发。您可以在 Monitoring 中查看其状态,但不会收到通知。
如需详细了解通知渠道,请参阅管理通知渠道。
- 点击创建政策。
如需详细了解 Cloud Monitoring 中的提醒政策,请参阅提醒简介。
如需详细了解如何使用集成页面,请参阅管理集成。
后续步骤
如需查看有关如何使用 Ansible 安装 Ops Agent、配置第三方应用和安装示例信息中心的演示,请观看安装 Ops Agent 以排查第三方应用的问题视频。