Utilizzare la registrazione degli audit di Kubernetes

Questo documento descrive come utilizzare Cloud Audit Logs per Google Distributed Cloud (solo software). Google Distributed Cloud utilizza l'audit logging di Kubernetes, che conserva un record cronologico delle chiamate effettuate a un server dell'API Kubernetes del cluster. Gli audit log sono utili per esaminare le richieste API sospette e per raccogliere statistiche. Per informazioni sull'audit logging per l'API GKE On-Prem, consulta Audit logging delle API Cloud.

Informazioni su Cloud Audit Logs

Gli audit log vengono scritti in Cloud Audit Logs nel tuo Google Cloud progetto. La scrittura in Cloud Audit Logs offre diversi vantaggi rispetto alla scrittura su disco o all'acquisizione dei log in un sistema di logging on-premise:

  • Gli audit log per tutti i cluster possono essere centralizzati.
  • Le voci di log scritte in Cloud Audit Logs sono immutabili.
  • Le voci di Cloud Audit Logs vengono conservate per 400 giorni.
  • La funzionalità Cloud Audit Logs è inclusa nel prezzo di Google Distributed Cloud.
  • Puoi configurare Google Distributed Cloud in modo che scriva i log su disco o in Cloud Audit Logs.

Audit logging basato su disco

Se Cloud Audit Logs è disabilitato in modo esplicito, gli audit log vengono scritti su un disco permanente in modo che i riavvii e gli upgrade del cluster non causino la scomparsa dei log. Il software Google Distributed Cloud (solo software) conserva fino a 1 GiB di voci di audit log.

Accedi agli audit log basati su disco accedendo ai nodi del control plane. I log si trovano nella directory /var/log/apiserver/.

Cloud Audit Logs

Le voci di audit log dell'attività di amministrazione di tutti i server dell'API Kubernetes vengono inviate a Google Cloud, utilizzando il progetto e la località specificati durante la creazione di un cluster utente. Per memorizzare nel buffer e scrivere le voci di log in Cloud Audit Logs, Google Distributed Cloud esegue il deployment di un set di daemon audit-proxy che viene eseguito sui nodi del piano di controllo.

Limitazioni

Cloud Audit Logs presenta le seguenti limitazioni:

  • L'audit logging di accesso ai dati (richieste get, list, watch) non è supportato.
  • La modifica dei criteri di audit di Kubernetes non è supportata.
  • Cloud Audit Logs non è resiliente alle interruzioni di rete prolungate. Se le voci di log non possono essere esportate in Google Cloud, vengono memorizzate nella cache in un buffer del disco da 10 GB. Se il buffer si riempie, le voci meno recenti vengono eliminate.
  • Un progetto può supportare fino a circa 1000 account di servizio da utilizzare con Cloud Audit Logs. Più cluster possono utilizzare lo stesso account di servizio.

Creare un account di servizio per Cloud Audit Logs

Prima di poter utilizzare Cloud Logging e Cloud Monitoring con il software Google Distributed Cloud (solo software), devi prima configurare quanto segue:

  1. Crea un workspace Cloud Monitoring all'interno del Google Cloud progetto, se non ne hai già uno.

    Nella Google Cloud console, fai clic sul seguente pulsante e segui il flusso di lavoro.

    Vai a Monitoring

  2. Fai clic sui seguenti pulsanti per abilitare le API richieste:

    Abilita l'API Anthos Audit

    Abilita l'API Stackdriver

    Abilita l'API Monitoring

    Abilita l'API Logging

  3. Assegna i seguenti ruoli IAM all'account di servizio utilizzato dagli agenti Stackdriver:

    • logging.logWriter
    • monitoring.metricWriter
    • stackdriver.resourceMetadata.writer
    • monitoring.dashboardEditor

Accedere a Cloud Audit Logs

Console

  1. Nella Google Cloud console, vai alla pagina Esplora log nel menu Logging.

    Vai a Esplora log

    Se si apre la pagina Visualizzatore log legacy, scegli Esegui l'upgrade al nuovo Esplora log dal menu a discesa Esegui l'upgrade.

  2. Fai clic nel campo Query per inserire una query.

  3. Inserisci la seguente query nel campo Query:

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

    Sostituisci PROJECT_ID con l'ID progetto.

  4. Fai clic su Esegui query per visualizzare tutti gli audit log dei cluster configurati per accedere a questo progetto.

gcloud

  1. Elenca le prime due voci di log nel Log delle attività di amministrazione del progetto che si applicano al tipo di risorsa k8s_cluster:
gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d
  1. Sostituisci PROJECT_ID con l'ID progetto.

L'output mostra due voci di log. Tieni presente che per ogni voce di log, il campo logName ha il valore projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity e protoPayload.serviceName è uguale a anthosgke.googleapis.com.

Criteri di audit

I criteri di audit di Kubernetes definiscono le regole per gli eventi registrati come voci di log e specificano i dati che devono essere inclusi nelle voci di log. Il comportamento di Cloud Audit Logs è determinato da criteri di audit logging di Kubernetes configurati staticamente. La modifica di questi criteri per modificare il comportamento di Cloud Audit Logs non è supportata.