HashiCorp Vault

Vault es un sistema de administración de encriptación y secretos basado en la identidad. Esta integración recopila los registros de auditoría de Vault. La integración también recopila métricas de token, memoria y almacenamiento.

Para obtener más información sobre Vault, consulta la documentación de Hashicorp Vault.

Requisitos previos

Para recopilar la telemetría de Vault, debes instalar el Agente de operaciones:

Para las métricas, instala la versión 2.18.2 o una posterior.
Para los registros, instala la versión 2.18.1 o una posterior.

Esta integración es compatible con Vault versión 1.6+.

Configura tu instancia de Vault

Para recopilar la telemetría de tu instancia de Vault, debes configurar el campo prometheus_retention_time con un valor distinto de cero en tu archivo de configuración HCL o JSON Vault.

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

Además, se requiere un usuario raíz para habilitar la recopilación de registros de auditoría y crear una política de LCA de prometheus-metrics. Se usa un token raíz para agregar una política que tenga capacidades de lectura al extremo /sys/metrics. Esta política se usa para crear un token de Vault con los permisos suficientes para recopilar métricas de Vault.

Si estás inicializando Vault por primera vez, puedes usar la siguiente secuencia de comandos para generar un token raíz. De lo contrario, consulta Genera tokens raíz con claves para anulación de sellos y obtén información para generar un token raíz.

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Configura el Agente de operaciones para Vault

Sigue la guía para configurar el Agente de operaciones, agrega los elementos necesarios para recopilar telemetría de las instancias de Vault y reinicia el agente.

Configuración de ejemplo

Los siguientes comandos crean la configuración para recopilar y transferir la telemetría de Vault, y reinician el agente de operaciones.

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

Configura la recopilación de registros

Para transferir registros desde Vault, debes crear un receptor para los registros que produce Vault y, luego, crear una canalización destinada al receptor nuevo.

A fin de configurar un receptor para tus registros vault_audit, especifica los siguientes campos:

Campo	Predeterminado	Descripción
`exclude_paths`		Una lista de patrones de ruta de acceso del sistema de archivos que se excluirán del conjunto que coincide con `include_paths`.
`include_paths`		Una lista de rutas de acceso del sistema de archivos que se leerán a través de la visualización del final de cada archivo. Se puede usar un comodín (`*`) en las rutas.
`record_log_file_path`	`false`	Si se configura como `true`, la ruta al archivo específico desde el que se obtuvo el registro aparece en la entrada de registro de salida como el valor de la etiqueta `agent.googleapis.com/log_file_path`. Cuando se usa un comodín, solo se registra la ruta de acceso del archivo del que se obtuvo el registro.
`type`		El valor debe ser `vault_audit`.
`wildcard_refresh_interval`	`60s`	El intervalo en el que se actualizan las rutas de acceso de archivos comodín en `include_paths`. Se proporciona como una duración, por ejemplo, `30s` o `2m`. Esta propiedad puede ser útil en el caso de una capacidad de procesamiento de registro alta en la que los archivos de registro se rotan más rápido que el intervalo predeterminado.

¿Qué se registra?

logName se deriva de los ID de receptor especificados en la configuración. Los campos detallados dentro de LogEntry son los siguientes.

Los registros vault_audit contienen los siguientes campos en LogEntry:

Campo	Tipo	Descripción
`jsonPayload.auth`	struct
`jsonPayload.auth.accessor`	string	Este es un HMAC del descriptor de acceso del token del cliente.
`jsonPayload.auth.client_token`	string	Este es un HMAC del ID del token del cliente.
`jsonPayload.auth.display_name`	string	Este es el nombre visible que establece el rol del método de autenticación o que se establece de forma explícita en el momento de la creación del secreto.
`jsonPayload.auth.entity_id`	string	Este es un identificador de entidad de token.
`jsonPayload.auth.metadata`	objeto	Este contendrá una lista de pares clave-valor de metadatos asociados con el client_token.
`jsonPayload.auth.policies`	objeto	Esto contendrá una lista de políticas asociadas con el client_token.
`jsonPayload.auth.token_type`	string
`jsonPayload.error`	string	Si se produce un error con la solicitud, el mensaje de error se incluye en el valor de este campo.
`jsonPayload.request`	struct
`jsonPayload.request.client_token`	string	Este es un HMAC del ID del token del cliente.
`jsonPayload.request.client_token_accessor`	string	Este es un HMAC del descriptor de acceso del token del cliente.
`jsonPayload.request.data`	objeto	El objeto de datos contendrá datos secretos en pares clave-valor.
`jsonPayload.request.headers`	objeto	Encabezados HTTP adicionales que el cliente especifica como parte de la solicitud.
`jsonPayload.request.id`	string	Este es el identificador único de la solicitud.
`jsonPayload.request.namespace.id`	string
`jsonPayload.request.operation`	string	Este es el tipo de operación que corresponde a las capacidades de ruta de acceso y se espera que sea `create`, `read`, `update`, `delete` o `list`.
`jsonPayload.request.path`	string	La ruta de Vault solicitada para la operación.
`jsonPayload.request.policy_override`	Booleano	Esto es `true` cuando se solicitó una anulación de política obligatoria.
`jsonPayload.request.remote_address`	string	La dirección IP del cliente que realiza la solicitud.
`jsonPayload.request.wrap_ttl`	string	Si el token está unido, se muestra el valor de TTL unido configurado como una string numérica.
`jsonPayload.response`	struct
`jsonPayload.response.data.accessor`	string	Este es un HMAC del descriptor de acceso del token del cliente.
`jsonPayload.response.data.creation_time`	string	Marca de tiempo con formato RFC 3339 de la creación del token.
`jsonPayload.response.data.creation_ttl`	string	TTL de la creación del tokens en segundos.
`jsonPayload.response.data.display_name`	string	Este es el nombre visible que establece el rol del método de autenticación o que se establece de forma explícita en el momento de la creación del secreto.
`jsonPayload.response.data.entity_id`	string	Este es un identificador de entidad de token.
`jsonPayload.response.data.expire_time`	string	Marca de tiempo con formato RFC 3339 que representa el momento en el que vencerá este token.
`jsonPayload.response.data.explicit_max_ttl`	string	Valor máximo de TTL del token explícito como segundos (“0” cuando no está configurado).
`jsonPayload.response.data.id`	string	Este es el identificador de respuesta único.
`jsonPayload.response.data.issue_time`	string	Marca de tiempo con formato RFC 3339.
`jsonPayload.response.data.num_uses`	número	Si el token está limitado a una cantidad de usos, ese valor se representará aquí.
`jsonPayload.response.data.orphan`	Booleano	Valor booleano que representa si el token es huérfano.
`jsonPayload.response.data.path`	string	La ruta de Vault solicitada para la operación.
`jsonPayload.response.data.policies`	objeto	Esto contendrá una lista de políticas asociadas con el client_token.
`jsonPayload.response.data.renewable`	Booleano	Valor booleano que representa si el token es huérfano.
`jsonPayload.type`	string	El tipo de registro de auditoría.
`severity`	string (`LogSeverity`)	Nivel de entrada de registro (traducido).

Configura la recopilación de métricas

Para transferir métricas desde Vault, debes crear un receptor para las métricas que produce Vaulty, luego, crear una canalización para el receptor nuevo.

Este receptor no admite el uso de varias instancias en la configuración, por ejemplo, para supervisar varios extremos. Todas estas instancias escriben en las mismas series temporales, y Cloud Monitoring no tiene forma de distinguirlas.

Para configurar un receptor para las métricas de vault, especifica los siguientes campos:

Campo	Predeterminado	Descripción
`ca_file`		Ruta al certificado de CA. Como cliente, esto verifica el certificado del servidor. Si está vacío, el receptor usa la CA raíz del sistema.
`cert_file`		Ruta de acceso al certificado TLS que se usará para las conexiones requeridas por mTLS.
`collection_interval`	`60s`	Un valor de duración de tiempo, como `30s` o `5m`.
`endpoint`	`localhost:8200`	El “hostname:port” que usa Vault
`insecure`	`true`	Establece si se debe usar o no una conexión TLS segura. Si se configura como `false`, TLS está habilitado.
`insecure_skip_verify`	`false`	Establece si se debe omitir la verificación del certificado. Si `insecure` se configura como `true`, no se usa el valor `insecure_skip_verify`.
`key_file`		Ruta de acceso a la clave TLS que se usará para las conexiones requeridas por mTLS.
`metrics_path`	`/v1/sys/metrics`	La ruta para la recopilación de métricas.
`token`	`localhost:8200`	Token usado para la autenticación.
`type`		Este valor debe ser `vault`.

Qué se supervisa

En la siguiente tabla, se proporciona una lista de métricas que el Agente de operaciones recopila de la instancia Vault.

Tipo de métrica
Categoría, tipo Recursos supervisados	Etiquetas
`workload.googleapis.com/vault.audit.request.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.audit.response.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.core.leader.duration`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.core.request.count`
`GAUGE`, `INT64` gce_instance	`cluster`
`workload.googleapis.com/vault.memory.usage`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.storage.operation.delete.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.delete.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.token.count`
`GAUGE`, `INT64` gce_instance	`cluster` `namespace`
`workload.googleapis.com/vault.token.lease.count`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.renew.time`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.revoke.time`
`GAUGE`, `INT64` gce_instance

Verifica la configuración

En esta sección, se describe cómo verificar que hayas configurado correctamente el receptor de Vault. El agente de operaciones puede tardar uno o dos minutos en comenzar a recopilar telemetría.

Para verificar que los registros de Vault se envíen a Cloud Logging, haz lo siguiente:

En la consola de Google Cloud, ve a la página Explorador de registros:
Ir al Explorador de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Ingresa la siguiente consulta en el editor y, luego, haz clic en Ejecutar consulta:
```
resource.type="gce_instance"
log_id("vault_audit")
```

Para verificar que las métricas de Vault se envíen a Cloud Monitoring, haz lo siguiente:

En la consola de Google Cloud, ve a la página Explorador de métricas:
Ir al Explorador de métricas

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.
En la barra de herramientas del panel del compilador de consultas, selecciona el botón cuyo nombre sea MQL o PromQL.
Verifica que MQL esté seleccionado en el botón de activación Lenguaje. El botón de activación de lenguaje se encuentra en la misma barra de herramientas que te permite dar formato a tu consulta.

Ingresa la siguiente consulta en el editor y, luego, haz clic en Ejecutar consulta:

fetch gce_instance
| metric 'workload.googleapis.com/vault.memory.usage'
| every 1m

Ver panel

Para ver tus métricas de Vault, debes tener configurado un gráfico o un panel. La integración de Vault incluye uno o más paneles. Cualquier panel se instala de forma automática después de que configuras la integración y de que el agente de operaciones comienza a recopilar datos de métricas.

También puedes ver vistas previas estáticas de los paneles sin instalar la integración.

Para ver un panel instalado, haz lo siguiente:

En la consola de Google Cloud, ve a la página Paneles.
Dirígete a Paneles de control

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.
Selecciona la pestaña Lista de paneles y, luego, la categoría Integraciones.
Haz clic en el nombre del panel que quiera ver.

Si configuraste una integración, pero el panel no se instaló, verifica que el agente de operaciones se esté ejecutando. Cuando no hay datos de métricas para un gráfico en el panel, la instalación del panel falla. Una vez que el agente de operaciones comienza a recopilar métricas, el panel se instalará por ti.

Para obtener una vista previa estática del panel, haz lo siguiente:

En la consola de Google Cloud, ve a la página Integraciones:
Dirígete a Integraciones

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.
Haz clic en el filtro de la plataforma de implementación Compute Engine.
Ubica la entrada para Vault y haz clic en Ver detalles.
Selecciona la pestaña Paneles para ver una vista previa estática. Si el panel está instalado, haz clic en Ver panel para navegar a él.

Para obtener más información de los paneles en Cloud Monitoring, consulta Paneles y gráficos.

Para obtener más información del uso de la página Integraciones, consulta Administra integraciones.

Instala políticas de alertas

Las políticas de alertas le indican a Cloud Monitoring que te notifique cuando ocurren condiciones especificadas. La integración de Vault incluye una o más políticas de alertas para que uses. Puedes ver e instalar estas políticas de alertas desde la página Integraciones en Monitoring.

Para ver las descripciones de las políticas de alertas disponibles y, luego, instalarlas, haz lo siguiente:

En la consola de Google Cloud, ve a la página Integraciones:
Dirígete a Integraciones

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.
Ubica la entrada para Vault y haz clic en Ver detalles.
Selecciona la pestaña Alertas. En esta pestaña, se proporcionan descripciones de las políticas de alertas disponibles y una interfaz para instalarlas.
Instala las políticas de alertas. Las políticas de alertas deben saber a dónde enviar notificaciones que la alerta se activó, por lo que requieren información de ti para la instalación. Para instalar las políticas de alertas, haz lo siguiente:
1. En la lista de políticas de alertas disponibles, elige las que deseas instalar.
2. En la sección Configura notificaciones, elige uno o más canales de notificaciones. Tienes la opción de inhabilitar el uso de los canales de notificación, pero si lo haces, las políticas de alertas se activarán de forma silenciosa. Puedes verificar su estado en Monitoring, pero no recibirás notificaciones.
  
  Para obtener más información de los canales de notificaciones, consulta Administra canales de notificaciones.
3. Haz clic en Crear políticas.

Para obtener más información de las políticas de alertas en Cloud Monitoring, consulta Introducción a las alertas.

Para obtener más información del uso de la página Integraciones, consulta Administra integraciones.

¿Qué sigue?

Para obtener una explicación sobre cómo usar Ansible para instalar el Agente de operaciones, configurar una aplicación de terceros y, luego, instalar un panel de muestra, consulta el video Instala el Agente de operaciones para solucionar problemas de apps de terceros.