Hashicorp Vault

Vault è un sistema di gestione della crittografia e dei secret basato sull'identità. Questa integrazione raccoglie gli audit log di Vault. L'integrazione raccoglie anche le metriche relative a token, memoria e spazio di archiviazione.

Per ulteriori informazioni su Vault, consulta la documentazione di Hashicorp Vault.

Prerequisiti

Per raccogliere dati di telemetria Vault, devi installa Ops Agent:

  • Per le metriche, installa la versione 2.18.2 o successive.
  • Per i log, installa la versione 2.18.1 o successive.

Questa integrazione supporta Vault versione 1.6 e successive.

Configura l'istanza di Vault

Per raccogliere dati di telemetria dall'istanza di Vault, devi impostare il valore prometheus_retention_time a un valore diverso da zero nei tuoi campi HCL o di configurazione di JSON Vault.

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

Inoltre, è necessario un utente root per attivare la raccolta dei log di controllo e creare un criterio ACL prometheus-metrics. Un token principale viene utilizzato per aggiungere un criterio con funzionalità di lettura all'endpoint/sys/metrics. Questo criterio viene utilizzato per creare un token Vault con autorizzazioni sufficienti per raccogliere le metriche di Vault.

Se stai inizializzando Vault per la prima volta, puoi utilizzare il seguente script per generare un token principale. In caso contrario, consulta Generare token di root con le chiavi di apertura per informazioni sulla generazione di un token di root.

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Configurare Ops Agent per Vault

Seguendo la guida alla configurazione delle operazioni Agent, aggiungi gli elementi richiesti per raccogliere dati di telemetria dalle istanze Vault e riavvia l'agente.

Configurazione di esempio

I comandi seguenti creano la configurazione per raccogliere e importare dati di telemetria per Vault e riavvia Ops Agent.

# Configures Ops Agent to collect telemetry from the app and restart Ops Agent.

set -e

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

sudo service google-cloud-ops-agent restart

Configura la raccolta dei log

Per importare i log da Vault, devi creare un destinatario per i log prodotto da Vault, quindi crea una pipeline per il nuovo ricevitore.

Per configurare un ricevitore per i log di vault_audit, specifica quanto segue campi:

Campo Predefinito Descrizione
exclude_paths Un elenco di pattern di percorsi del file system da escludere dall'insieme corrispondente a include_paths.
include_paths Un elenco di percorsi del file system da leggere tramite il comando tail di ogni file. Nei percorsi è possibile utilizzare un carattere jolly (*).
record_log_file_path false Se impostato su true, il percorso del file specifico da cui è stato ottenuto il record del log viene visualizzato nella voce del log di output come valore dell'etichetta agent.googleapis.com/log_file_path. Quando utilizzi un carattere jolly, viene registrato solo il percorso del file da cui è stato ottenuto il record.
type Il valore deve essere vault_audit.
wildcard_refresh_interval 60s L'intervallo di aggiornamento dei percorsi dei file con caratteri jolly in include_paths. Specificato come durata, ad esempio 30s o 2m. Questa proprietà potrebbe essere utile in caso di flussi di lavoro elevati per la registrazione, in cui i file di log vengono ruotati più velocemente dell'intervallo predefinito.

Che cosa viene registrato nei log

logName deriva da gli ID destinatario specificati nella configurazione. I campi dettagliati all'interno di LogEntry sono i seguenti.

I log vault_audit contengono i seguenti campi in LogEntry:

Campo Tipo Descrizione
jsonPayload.auth struct
jsonPayload.auth.accessor string Questo è un HMAC della funzione di accesso al token client.
jsonPayload.auth.client_token string Si tratta di un HMAC dell'ID token del client.
jsonPayload.auth.display_name string Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret.
jsonPayload.auth.entity_id string Si tratta di un identificatore di entità token.
jsonPayload.auth.metadata oggetto Conterrà un elenco di coppie chiave/valore dei metadati associate a client_token.
jsonPayload.auth.policies oggetto Conterrà un elenco di criteri associati a client_token.
jsonPayload.auth.token_type string
jsonPayload.error string Se si è verificato un errore nella richiesta, il messaggio di errore viene incluso nel valore di questo campo.
jsonPayload.request struct
jsonPayload.request.client_token string Si tratta di un HMAC dell'ID token del client.
jsonPayload.request.client_token_accessor string Si tratta di un HMAC dell'accessore del token client.
jsonPayload.request.data oggetto L'oggetto dati conterrà dati riservati in coppie chiave/valore.
jsonPayload.request.headers oggetto Intestazioni HTTP aggiuntive specificate dal client nell'ambito della richiesta.
jsonPayload.request.id string Si tratta dell'identificatore univoco della richiesta.
jsonPayload.request.namespace.id string
jsonPayload.request.operation string Si tratta del tipo di operazione che corrisponde alle funzionalità del percorso e deve essere uno dei seguenti: create, read, update, delete o list.
jsonPayload.request.path string Il percorso Vault richiesto per l'operazione.
jsonPayload.request.policy_override boolean Si tratta di true quando è stato richiesto un override del criterio obbligatorio.
jsonPayload.request.remote_address string L'indirizzo IP del client che effettua la richiesta.
jsonPayload.request.wrap_ttl string Se il token è aggregato, viene visualizzato il valore TTL con wrapping configurato come stringa numerica.
jsonPayload.response struct
jsonPayload.response.data.accessor string Questo è un HMAC della funzione di accesso al token client.
jsonPayload.response.data.creation_time string Timestamp nel formato RFC 3339 della creazione del token.
jsonPayload.response.data.creation_ttl string TTL di creazione del token in secondi.
jsonPayload.response.data.display_name string Si tratta del nome visualizzato impostato dal ruolo del metodo di autenticazione o esplicitamente al momento della creazione del secret.
jsonPayload.response.data.entity_id string Questo è un identificatore dell'entità token.
jsonPayload.response.data.expire_time string Timestamp del formato RFC 3339 che rappresenta il momento in cui scadrà il token.
jsonPayload.response.data.explicit_max_ttl string Valore TTL massimo del token esplicito in secondi ("0" se non impostato).
jsonPayload.response.data.id string Si tratta dell'identificatore univoco della risposta.
jsonPayload.response.data.issue_time string Timestamp in formato RFC 3339.
jsonPayload.response.data.num_uses numero Se il token è limitato a un certo numero di utilizzi, quel valore verrà rappresentato qui.
jsonPayload.response.data.orphan boolean Valore booleano che indica se il token è orfano.
jsonPayload.response.data.path string Il percorso Vault richiesto per l'operazione.
jsonPayload.response.data.policies oggetto Conterrà un elenco di criteri associati a client_token.
jsonPayload.response.data.renewable boolean Valore booleano che indica se il token è orfano.
jsonPayload.type string Il tipo di audit log.
severity stringa (LogSeverity) Livello voce di log (tradotto).

Configurazione della raccolta di metriche

Per importare le metriche da Vault, devi creare un ricevitore per le metriche prodotto da Vault, quindi crea una pipeline per il nuovo ricevitore.

Questo ricevitore non supportare l'uso di più istanze nella configurazione, ad esempio per monitorare più endpoint. Tutte queste istanze scrivono nella stessa serie temporale e Cloud Monitoring non ha modo di distinguerle.

Per configurare un ricevitore per le metriche vault, specifica quanto segue campi:

Campo Predefinito Descrizione
ca_file Percorso del certificato CA. In qualità di client, verifica il certificato del server. Se vuoto, il destinatario utilizza la CA radice di sistema.
cert_file Percorso del certificato TLS da utilizzare per le connessioni richieste da mTLS.
collection_interval 60s Un valore di durata temporale, ad esempio 30s o 5m.
endpoint localhost:8200 "hostname:port" utilizzato da Vault.
insecure true Consente di impostare se utilizzare o meno una connessione TLS sicura. Se impostato su false, TLS è attivato.
insecure_skip_verify false Imposta se saltare o meno la verifica del certificato. Se insecure è impostato su true, il valore insecure_skip_verify non viene utilizzato.
key_file Percorso della chiave TLS da utilizzare per le connessioni richieste da mTLS.
metrics_path /v1/sys/metrics Il percorso per la raccolta delle metriche.
token localhost:8200 Token utilizzato per l'autenticazione.
type Questo valore deve essere vault.

Che cosa viene monitorato

La tabella seguente fornisce l'elenco delle metriche raccolte dall'agente Ops dall'istanza Vault.

Tipo di metrica 
Tipo, tipo
Risorse monitorate		 Etichette
workload.googleapis.com/vault.audit.request.failed
CUMULATIVEINT64
gce_instance 		 
workload.googleapis.com/vault.audit.response.failed
CUMULATIVEINT64
gce_instance 		 
workload.googleapis.com/vault.core.leader.duration
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/vault.core.request.count
GAUGEINT64
gce_instance 		cluster
workload.googleapis.com/vault.memory.usage
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/vault.storage.operation.delete.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.delete.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.get.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.get.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.list.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.list.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.put.count
CUMULATIVEINT64
gce_instance 		storage
workload.googleapis.com/vault.storage.operation.put.time
CUMULATIVEDOUBLE
gce_instance 		storage
workload.googleapis.com/vault.token.count
GAUGEINT64
gce_instance 		cluster
namespace
workload.googleapis.com/vault.token.lease.count
GAUGEINT64
gce_instance 		 
workload.googleapis.com/vault.token.renew.time
GAUGEINT64
gce_instance 		 
workload.googleapis.com/vault.token.revoke.time
GAUGEINT64
gce_instance 		 

Verificare la configurazione

In questa sezione viene descritto come verificare la corretta configurazione del Destinatario Vault. L'inizio della raccolta della telemetria da parte di Ops Agent potrebbe richiedere uno o due minuti.

Per verificare che i log di Vault vengano inviati a Cloud Logging, svolgi i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Inserisci la seguente query nell'editor e poi fai clic su Esegui query: 
    resource.type="gce_instance"
log_id("vault_audit")

Per verificare che le metriche di Vault vengano inviate a Cloud Monitoring:

  1. Nella console Google Cloud, vai alla pagina  Esplora metriche:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nella barra degli strumenti della riquadro Query Builder, seleziona il pulsante con  MQL o  PromQL.
  3. Verifica che sia selezionato MQL con l'opzione Lingua. Il pulsante di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che consente di formattare la query.
  4. Inserisci la seguente query nell'editor e poi fai clic su Esegui query: 
    fetch gce_instance
| metric 'workload.googleapis.com/vault.memory.usage'
| every 1m

Visualizza dashboard

Per visualizzare le metriche di Vault, devi disporre di un grafico o di una dashboard configurato. L'integrazione di Vault include una o più dashboard per te. Qualsiasi dashboard viene installata automaticamente dopo integrazione e Ops Agent ha iniziato a raccogliere dati delle metriche.

Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.

Per visualizzare una dashboard installata:

  1. Nella console Google Cloud, vai alla pagina  Dashboard:

    Vai a Dashboard

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Seleziona la scheda Elenco dashboard, quindi scegli la Categoria Integrazioni.
  3. Fai clic sul nome della dashboard che vuoi visualizzare.

Se hai configurato un'integrazione, ma la dashboard non è stata installato, quindi verifica che Ops Agent sia in esecuzione. Quando non c'è dati delle metriche per un grafico nella dashboard, l'installazione della dashboard non riesce. Dopo che Ops Agent inizia a raccogliere le metriche, la dashboard viene installata per te.

Per visualizzare un'anteprima statica della dashboard:

  1. Nella console Google Cloud, vai alla  Integrazioni pagina:

    Vai a Integrazioni

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Fai clic sul filtro della piattaforma di deployment di Compute Engine.
  3. Individua la voce relativa a Vault e fai clic su Visualizza dettagli.
  4. Seleziona la scheda Dashboard per visualizzare un'anteprima statica. Se sia installata, quindi puoi accedervi facendo clic Visualizza dashboard.

Per saperne di più sulle dashboard in Cloud Monitoring, consulta Dashboard e grafici.

Per saperne di più sull'utilizzo della pagina Integrazioni, vedi Gestisci le integrazioni.

Installa i criteri di avviso

I criteri di avviso indicano a Cloud Monitoring di avvisarti quando che si verifichino determinate condizioni. L'integrazione di Vault include uno o più criteri di avviso da utilizzare. Puoi visualizzare e installare questi criteri di avviso dalla pagina Integrazioni in Monitoraggio.

Per visualizzare le descrizioni dei criteri di avviso disponibili e installarli:

  1. Nella console Google Cloud, vai alla  Integrazioni pagina:

    Vai a Integrazioni

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Individua la voce per Vault e fai clic su Visualizza dettagli.
  3. Seleziona la scheda Avvisi. Questa scheda fornisce le descrizioni criteri di avviso disponibili e fornisce un'interfaccia per l'installazione che li rappresentano.
  4. Installa i criteri di avviso. I criteri di avviso devono sapere dove inviare le notifiche che indicano che l'avviso è stato attivato, quindi richiedono informazioni da te per l'installazione. Per installare i criteri di avviso:
    1. Dall'elenco dei criteri di avviso disponibili, seleziona quelli da installare.

    2. Nella sezione Configura notifiche, seleziona uno o più canali di notifica. Puoi disattivare l'uso dei canali di notifica, ma in questo caso i criteri di avviso vengono attivati in modo silenzioso. Puoi verificarne lo stato nella Monitoraggio, ma non riceverai notifiche.

      Per ulteriori informazioni sui canali di notifica, consulta Gestisci canali di notifica.

    3. Fai clic su Crea criteri.

Per ulteriori informazioni sui criteri di avviso in Cloud Monitoring, consulta la pagina Introduzione agli avvisi.

Per saperne di più sull'utilizzo della pagina Integrazioni, vedi Gestisci le integrazioni.

Passaggi successivi

Per una procedura dettagliata su come utilizzare Ansible per installare l'Ops Agent, configurare un'applicazione di terze parti e installare una dashboard di esempio, guarda il video Installa l'Ops Agent per risolvere i problemi relativi alle applicazioni di terze parti.