Utiliser la journalisation d'audit Kubernetes

Ce document explique comment utiliser Cloud Audit Logs pour Google Distributed Cloud (logiciel uniquement). Google Distributed Cloud utilise la journalisation d'audit Kubernetes, qui conserve un enregistrement chronologique des appels passés vers le serveur de l'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour examiner les requêtes d'API suspectes et collecter des statistiques. Pour en savoir plus sur la journalisation d'audit de l'API GKE On-Prem, consultez la section Journaux d'audit des API Cloud.

À propos de Cloud Audit Logs

Les journaux d'audit sont écrits dans Cloud Audit Logs de votre Google Cloud projet. Écrire dans Cloud Audit Logs présente plusieurs avantages par rapport à l'écriture sur disque, voire à la capture de journaux dans un système de journalisation sur site :

  • Les journaux d'audit de tous les clusters peuvent être centralisés.
  • Les entrées de journal écrites dans Cloud Audit Logs sont immuables.
  • Les entrées Cloud Audit Logs sont conservées pendant 400 jours.
  • Cloud Audit Logs est inclus dans le prix de Google Distributed Cloud.
  • Vous pouvez configurer Google Distributed Cloud pour écrire des journaux sur disque ou dans Cloud Audit Logs.

Journaux d'audit sur disque

Si Cloud Audit Logs est désactivé explicitement, les journaux d'audit sont écrits sur un disque persistant, de sorte que les redémarrages et les mises à niveau du cluster n'entraînent pas leur suppression. Le logiciel Google Distributed Cloud conserve jusqu'à 1 Gio d'entrées de journal d'audit.

Accédez aux journaux d'audit sur disque en vous connectant aux nœuds du plan de contrôle. Les journaux se trouvent dans le répertoire /var/log/apiserver/.

Cloud Audit Logs

Les entrées de journal d'audit pour les activités d'administration de tous les serveurs d'API Kubernetes sont envoyées à Google Cloud, en utilisant le projet et l'emplacement que vous spécifiez lorsque vous créez un cluster d'utilisateur. Pour mettre en mémoire tampon et écrire des entrées de journal dans Cloud Audit Logs, Google Distributed Cloud déploie un ensemble de daemons audit-proxy qui s'exécute sur les nœuds du plan de contrôle.

Limites

Cloud Audit Logs présente les limites suivantes :

  • La journalisation des accès aux données (requêtes get, list, watch) n'est pas prise en charge.
  • La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
  • Cloud Audit Logs n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Go. Si ce tampon est plein, les entrées les plus anciennes sont supprimées.
  • Un projet peut accepter jusqu'à environ 1 000 comptes de service à utiliser avec Cloud Audit Logs. Plusieurs clusters peuvent utiliser le même compte de service.

Créer un compte de service pour Cloud Audit Logs

Pour pouvoir utiliser Cloud Logging et Cloud Monitoring avec le logiciel Google Distributed Cloud, vous devez d'abord configurer les éléments suivants :

  1. Créez un espace de travail Cloud Monitoring dans le Google Cloud projet, si vous n'en possédez pas déjà un.

    Dans la Google Cloud console, cliquez sur le bouton suivant et suivez le workflow.

    Accéder à Monitoring

  2. Cliquez sur les boutons suivants pour activer les API requises :

    Activer l'API Anthos Audit

    Activer l'API Stackdriver

    Activer l'API Monitoring

    Activer l'API Logging

  3. Attribuez les rôles IAM suivants au compte de service utilisé par les agents Stackdriver :

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Accéder à Cloud Audit Logs

Console

  1. Dans la Google Cloud console, accédez à la page Explorateur de journaux du menu Journalisation.

    Accéder à l'explorateur de journaux

    Si la page Ancienne visionneuse de journaux s'ouvre, sélectionnez Mettre à niveau vers le nouvel explorateur de journaux dans le menu déroulant Mettre à niveau.

  2. Cliquez dans le champ Requête pour saisir une requête.

  3. Saisissez la requête suivante dans le champ Requête :

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

    Remplacez PROJECT_ID par l'ID du projet.

  4. Cliquez sur Exécuter la requête pour afficher tous les journaux d'audit des clusters configurés pour se connecter à ce projet.

gcloud

  1. Affichez les deux premières entrées de journal du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster :
gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d
  1. Remplacez PROJECT_ID par l'ID du projet.

Le résultat affiche deux entrées de journal. Notez que pour chaque entrée de journal, le logName champ a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity et protoPayload.serviceName est égal à anthosgke.googleapis.com.

Règle d'audit

La stratégie d'audit Kubernetes définit les règles pour lesquelles des événements sont enregistrés en tant qu'entrées de journal et spécifie les données que les entrées de journal doivent inclure. Le comportement de Cloud Audit Logs est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. Il n'est pas possible de modifier cette stratégie pour modifier le comportement de Cloud Audit Logs.