Questa guida spiega come assicurarti che l'agente Logging, che installi sulla tua istanza della macchina virtuale (VM), sia autorizzato a inviare i dati di telemetria a Google Cloud Observability.
Panoramica dell'autorizzazione
Con autorizzazione si intende il processo di determinazione delle autorizzazioni per un insieme di risorse. Google Cloud autorizza l'agente di logging su un'istanza VM Compute Engine utilizzando le credenziali predefinite dell'applicazione (ADC).
L'agente di logging supporta l'ADC che autentica l'account di servizio associato di una VM o una chiave dell'account di servizio.
- Un account di servizio associato si riferisce a un account di servizio specifico per una determinata risorsa, ad esempio una VM. Il service account ha le proprie credenziali univoche. ADC utilizza il server di metadati della VM per ottenere le credenziali per un servizio.
- Una chiave dell'account di servizio è una chiave privata utilizzata autorizza su un account di servizio in un progetto, che consente di creare di accesso. Il token serve per fornire un'identità in modo da poter interagire con le API Google Cloud per conto dell'account di servizio.
Ti consigliamo di configurare l'ADC di autenticare un account di servizio collegato quando è possibile, come richiede spazio di archiviazione locale, e lo spazio di archiviazione potrebbe essere compromesso. Per ulteriori informazioni sulle chiavi degli account di servizio, consulta Best practice per la gestione delle chiavi degli account di servizio.
Per le istanze VM AWS EC2, l'agente Logging supporta l'autenticazione solo utilizzando il metodo della chiave dell'account di servizio.
Prima di iniziare
Leggi questa guida se una delle seguenti condizioni si applica a te:
Se esegui istanze di Compute Engine molto obsolete o se disponi ha modificato gli ambiti di accesso o le impostazioni degli account di servizio di Compute Engine, devi completare i passaggi in questo prima di installare l'agente. Queste VM potrebbero non avere i requisiti e il file delle chiavi dell'account di servizio. Per informazioni su come verificare gli ambiti di accesso e le impostazioni degli account di servizio delle istanze, consulta Verificare le credenziali di Compute Engine.
Nelle istanze VM di Compute Engine appena create, gli ambiti di accesso le impostazioni dell'account di servizio sono sufficienti per eseguire gli agenti.
Se esegui istanze VM Amazon EC2 (AWS VC2), segui questi passaggi: prima di installare l'agente:
Identifica il progetto di hosting AWS per l'account AWS con il tuo EC2. di Compute Engine. Il progetto di hosting è un progetto Google Cloud il cui unico scopo consiste nell'archiviare le metriche e i log delle istanze EC2 in un account AWS.
Se non riesci a trovare un progetto di hosting AWS per l'account, di creare un progetto Google Cloud da utilizzare come progetto di hosting. Se hai istanze EC2 in più account AWS, crea un progetto Google Cloud per ogni account. Ti consigliamo inoltre di utilizzi una convenzione di denominazione per questi progetti o che utilizzi etichette del progetto, per identificare i progetti di hosting. Non ti consigliamo di riutilizzare un modello esistente progetto Google Cloud, soprattutto se contiene risorse Google Cloud.
Completa i passaggi per autorizzare l'agente utilizzando un file della chiave dell'account di servizio.
Per verificare gli ambiti di accesso:
- Esegui una query sugli ambiti di accesso eseguendo il seguente comando sulla tua istanza Compute Engine:
curl --silent --connect-timeout 1 -f -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/scopes
Nell'output comando, se l'ambito di accesso
https://www.googleapis.com/auth/cloud-platform
è indicato, avrai autorizzazioni sufficienti.Se
https://www.googleapis.com/auth/cloud-platform
non è elencato, hai bisogno di due ambiti di accesso, uno per ciascuna delle seguenti coppie di "registrazione" e "monitoraggio":https://www.googleapis.com/auth/logging.write
o
https://www.googleapis.com/auth/logging.admin
https://www.googleapis.com/auth/monitoring.write
o
https://www.googleapis.com/auth/monitoring.admin
Per modificare gli ambiti di accesso:
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
- Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
- Seleziona Istanze VM dal menu di navigazione, quindi Istanze e seleziona il nome della VM.
- Arresta la VM facendo clic su stop Arresta.
- Dopo l'arresto della VM, fai clic su edit Modifica.
- Individua Ambiti di accesso nella sezione Identità e accesso API della pagina, quindi seleziona Imposta l'accesso per ogni API.
- Per le voci API Stackdriver Logging e API Stackdriver Monitoring, seleziona Sola scrittura.
- Fai clic su Salva, quindi riavvia la VM facendo clic su play_arrow Avvia/Riprendi.
Utilizza un account di servizio
Il termine autenticazione fa riferimento al processo di determinazione dell'identità del client. Per l'autenticazione, consigliamo di utilizzare un account di servizio, un tipo speciale tipicamente usati da un'applicazione o da un carico di lavoro, piuttosto che a una persona. Per ulteriori informazioni, consulta la panoramica degli account di servizio.
Puoi utilizzare gli account di servizio per l'autenticazione indipendentemente da dove si trova il codice su Compute Engine, App Engine oppure on-premise. Per ulteriori informazioni, consulta la sezione Autenticazione su Google.
Questa sezione descrive come creare un nuovo account di servizio e concedergli i ruoli necessari, nonché come aggiornare un account di servizio esistente se non dispone dei ruoli necessari.
Crea un account di servizio
Per creare un account di servizio, completa le procedure di creazione di un account di servizio con le seguenti informazioni:
Seleziona il progetto Google Cloud in cui creare l'account di servizio.
Per le istanze di Compute Engine, scegli il progetto in cui ha creato l'istanza.
Per le istanze Amazon EC2, seleziona il progetto di hosting AWS.
Nel menu a discesa Ruolo, seleziona i ruoli seguenti:
- Logging > Writer log. In questo modo, l'agente Logging viene autorizzato a importare i log.
- Monitoraggio > Monitoring Metric Writer. In questo modo, l'agente Logging viene autorizzato a importare le proprie metriche di integrità.
Se prevedi di eseguire l'autenticazione usando una chiave dell'account di servizio, quindi seleziona JSON come Tipo di chiave e fai clic su Crea.
Quando fai clic su Crea, un file contenente una chiave dell'account di servizio viene scaricato sul tuo sistema locale. Per ulteriori informazioni, vedi Crea ed elimina le chiavi degli account di servizio.
Successivamente, configura l'account di servizio e le impostazioni a seconda che autorizzi mediante account di servizio collegati o chiavi private degli account di servizio.
Verificare e modificare i ruoli di un account di servizio esistente
Puoi utilizzare la console Google Cloud per determinare quali ruoli un servizio esistente dell'account e per aggiungere eventuali ruoli necessari che mancano:
-
Nella console Google Cloud, vai alla pagina IAM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto.
Se non vedi un elenco di principali IAM (utenti e account di servizio), seleziona la scheda Autorizzazioni.
Nell'elenco Visualizza per entità, individua la voce relativa alla l'account di servizio. Nella colonna Ruolo sono elencati i ruoli concessi a l'account di servizio.
Se il tuo account di servizio non dispone dei ruoli necessari per di agente Logging, quindi segui questi passaggi per aggiungere i ruoli descritti in Crea un account di servizio:
- Fai clic su edit Modifica nella voce relativa all'account di servizio.
- Fai clic su Aggiungi un altro ruolo per aggiungere i ruoli mancanti.
- Fai clic su Salva.
Autorizzazione con un account di servizio collegato
Per autorizzare l'agente di logging installato su un'istanza VM Compute Engine con un account di servizio associato, segui questi passaggi:
Assicurati di verificato gli ambiti di accesso della tua VM.
Concedi al tuo account di servizio i privilegi minimi Ruoli IAM possibili. Per i ruoli richiesti, vedi Sezione Crea un account di servizio di questa pagina.
Associa l'account di servizio alla VM in cui è in esecuzione l'agente.
Se non l'hai ancora fatto, installa l'agente. Per informazioni su come installare l'agente, consulta Installazione dell'agente.
Autorizza con una chiave dell'account di servizio
Per autorizzare l'agente Logging installato su un'istanza VM utilizzando le chiavi private dell'account di servizio:
Trasferisci il file della chiave dell'account di servizio dal sistema locale all'istanza VM:
Crea una variabile di ambiente che punti al file della chiave dell'account di servizio sul tuo nel tuo sistema locale. Nell'esempio seguente viene creata una variabile denominata
CREDS
:CREDS=~/Downloads/PROJECT-NAME-KEY-ID.json
Completa i passaggi indicati nella seguente tabella:
Compute Engine
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Identifica INSTANCE_NAME e INSTANCE_ZONE per la tua VM.
Sul sistema locale, esegui Google Cloud CLI. per copiare il file della chiave dal sistema locale all'istanza VM:
REMOTE_USER="$USER" INSTANCE="INSTANCE_NAME" ZONE="INSTANCE_ZONE" gcloud compute scp "$CREDS" "$REMOTE_USER@$INSTANCE:~/temp.json" --zone "$ZONE"
Nell'istanza Compute Engine, sposta il file della chiave dell'account di servizio dalla posizione temporanea a una posizione permanente e, per Linux, assicurati che il file della chiave dell'account di servizio sia leggibile solo da
root
.Queste sono le posizioni in cui l'agente si aspetta il file della chiave:
- VM Linux:
/etc/google/auth/application_default_credentials.json
- VM Windows:
C:\ProgramData\Google\Auth\application_default_credentials.json
- VM Linux e Windows:
qualsiasi posizione memorizzata nella variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
, che deve essere visibile al processo dell'agente. Per informazioni sulla configurazione, consulta ImpostareGOOGLE_APPLICATION_CREDENTIALS
.
Ad esempio, su Linux puoi eseguire il seguente script che sposta il file della chiave dell'account di servizio nella posizione predefinita e imposta le autorizzazioni appropriate:
CREDENTIALS_FILE_LOCATION="/etc/google/auth/application_default_credentials.json" sudo mkdir -p /etc/google/auth sudo mv "$HOME/temp.json" "$CREDENTIALS_FILE_LOCATION" sudo chown root:root "$CREDENTIALS_FILE_LOCATION" sudo chmod 0400 "$CREDENTIALS_FILE_LOCATION"
- VM Linux:
Amazon EC2
Per la tua VM, identifica YOUR-INSTANCE'S-ID e YOUR-INSTANCE'S-AWS-REGION.
Nel sistema locale, utilizza scp per copiare il file della chiave dell'account di servizio dal sistema locale alla VM istanza:
KEY="YOUR-SSH-KEY-PAIR-FILE" INSTANCE="ec2-YOUR-INSTANCE'S-ID.YOUR-INSTANCE'S-AWS-REGION.compute.amazonaws.com" # The remote user depends on the installed OS: ec2-user, ubuntu, root, etc. REMOTE_USER="EC2-USER" scp -i "$KEY" "$CREDS" "$REMOTE_USER@$INSTANCE:~/temp.json"
Il valore della variabile di ambiente
INSTANCE
presuppone che le tue L'istanza EC2 non si trova nella regioneus-east-1
. Per scoprire come definire la variabileINSTANCE
quando l'istanza si trova nella regioneus-east-1
, consulta la convenzione di denominazione definita da Amazon.Nell'istanza EC2, sposta il file della chiave dell'account di servizio dalla collocazione temporanea a una delle seguenti posizioni e, per Linux, assicurati che il file della chiave dell'account di servizio sia leggibile solo da
root
.Queste sono le posizioni in cui l'agente si aspetta il file della chiave:
VM Linux:
/etc/google/auth/application_default_credentials.json
VM Windows:
C:\ProgramData\Google\Auth\application_default_credentials.json
VM Linux e Windows: qualsiasi posizione memorizzata nella variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
, che deve essere visibile al processo dell'agente. Per informazioni sulla configurazione, consulta ImpostareGOOGLE_APPLICATION_CREDENTIALS
.
Ad esempio, su Linux puoi eseguire lo script seguente che sposta chiave dell'account di servizio sul percorso predefinito, quindi imposta il file autorizzazioni:
CREDENTIALS_FILE_LOCATION="/etc/google/auth/application_default_credentials.json" sudo mkdir -p /etc/google/auth sudo mv "$HOME/temp.json" "$CREDENTIALS_FILE_LOCATION" sudo chown root:root "$CREDENTIALS_FILE_LOCATION" sudo chmod 0400 "$CREDENTIALS_FILE_LOCATION"
-
L'istanza VM ora include il file delle chiavi dell'account di servizio di cui l'agente ha bisogno. Poi, installa o riavvia l'agente:
Per informazioni su come installare l'agente, consulta Installazione dell'agente.
Per informazioni su come riavviare l'agente, consulta Riavvia l'agente.
Se vuoi ricontrollare il file della chiave dell'account di servizio, consulta la sezione Verificare le credenziali della chiave privata.
Imposta GOOGLE_APPLICATION_CREDENTIALS
Questa sezione mostra come impostare la variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
in modo che sia visibile al processo dell'agente.
Linux
Modifica il seguente file di configurazione o creane uno se non esiste:
/etc/default/google-fluentd
Aggiungi quanto segue al file di configurazione:
GOOGLE_APPLICATION_CREDENTIALS=PATH_TO_CREDENTIAL_FILE
Riavviare l'agente eseguendo il seguente comando nell'istanza VM:
sudo service google-fluentd restart
Windows
In PowerShell, esegui i comandi seguenti come amministratore per impostare
GOOGLE_APPLICATION_CREDENTIALS
variabile di ambiente di sistema per Ops Agent da utilizzare:[Environment]::SetEnvironmentVariable("GOOGLE_APPLICATION_CREDENTIALS", "PATH_TO_CREDENTIAL_FILE", "Machine")
Riavviare l'agente eseguendo il seguente comando nell'istanza VM:
Restart-Service -Name StackdriverLogging