Descripción general
En este documento, se describe cómo usar los registros de auditoría de Cloud para Google Distributed Cloud (solo software). Google Distributed Cloud usa el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes sospechosas a la API y recopilar estadísticas. Para obtener información sobre el registro de auditoría de la API de GKE On-Prem, consulta Registro de auditoría de la API de Cloud.
Acerca de los Registros de auditoría de Cloud
Los registros de auditoría se escriben en los Registros de auditoría de Cloud en tu proyecto de Google Cloud . Escribir en los registros de auditoría de Cloud tiene varios beneficios en comparación con escribir en el disco o incluso capturar registros en un sistema de registro local:
- Los registros de auditoría para todos los clústeres se pueden centralizar.
- Las entradas de registro escritas en los Registros de auditoría de Cloud son inmutables.
- Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
- La función de Registros de auditoría de Cloud se incluye en el precio de Google Distributed Cloud.
- Puedes configurar Google Distributed Cloud para escribir registros en el disco o en los registros de auditoría de Cloud.
Registro de auditoría basado en discos
De forma predeterminada, los registros de auditoría se escriben en un disco persistente para que los reinicios y las actualizaciones de las VM no causen la desaparición de los registros.
Si la opción Clúster avanzado no está habilitada, haz lo siguiente:
Google Distributed Cloud conserva hasta 12 GB de entradas de registro de auditoría.
Si está habilitado el clúster avanzado
Google Distributed Cloud conserva hasta 1 GB de entradas de registro de auditoría.
Registros de auditoría de Cloud
Si habilitas los registros de auditoría de Cloud para un clúster, las entradas del registro de auditoría de actividad del administrador del servidor de la API de Kubernetes del clúster se envían a Google Cloudcon el proyecto Google Cloud que especifiques en el campocloudAuditLogging.projectIDdel archivo de configuración del clúster.
Este proyecto Google Cloud se denomina tu proyecto de registro de auditoría.
El proyecto de registro de auditoría debe ser el mismo que el proyecto host de tu flota.
Para almacenar en búfer y escribir entradas de registro en los registros de auditoría de Cloud, Google Distributed Cloud implementa un Pod audit-proxy en el clúster de administrador.
Este componente también está disponible como un contenedor de archivo adicional en los clústeres de usuarios.
Limitaciones
Los Registros de auditoría de Cloud tienen las siguientes limitaciones:
- No se admite el registro de acceso a los datos (solicitudes get, list y watch).
- No se admite la modificación de la política de auditoría de Kubernetes.
- Los registros de auditoría de Cloud no son resistentes a las interrupciones prolongadas de la red. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenan en caché en un búfer de disco de 10 GB. Si se llena ese búfer, se descartan las entradas más antiguas.
- Un proyecto puede admitir hasta aproximadamente 1,000 cuentas de servicio para usar con los registros de auditoría de Cloud. Varios clústeres pueden usar la misma cuenta de servicio.
Habilita la API de auditoría de Anthos
Habilita la API de auditoría de Anthos en tu proyecto de registro de auditoría.
Habilita la API de auditoría de Anthos
Crea una cuenta de servicio para los registros de auditoría de Cloud
Ya tienes una o más cuentas de servicio que creaste para usar con Google Distributed Cloud. Para esta función, debes crear una cuenta de servicio adicional llamada cuenta de servicio de registro de auditoría.
Crea la cuenta de servicio de registro de auditoría:
gcloud iam service-accounts create audit-logging-service-account
Crea un archivo de claves JSON para la cuenta de servicio de los registros de auditoría de Cloud:
gcloud iam service-accounts keys create audit-logging-key.json \ --iam-account AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL
En el ejemplo anterior, AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL es la dirección de correo electrónico de la cuenta de servicio.
Guarda
audit-logging-key.jsonen la estación de trabajo de administrador en la misma ubicación que tus otras claves de cuenta de servicio.
ADVERTENCIA: Antes de borrar esta cuenta de servicio, asegúrate de reemplazarla por la nueva cuenta de servicio en la configuración del clúster. El proceso es similar a Habilita los registros de auditoría de Cloud para un clúster de usuario existente. Si olvidas hacerlo, sigue la guía para realizar una limpieza.
Crea un clúster de administrador con los registros de auditoría de Cloud habilitados
Puedes habilitar los registros de auditoría de Cloud para un clúster de administrador solo cuando creas el clúster del administrador por primera vez. No puedes modificar un clúster de administrador existente para habilitar los registros de auditoría de Cloud.
Consulta Crea un clúster de administrador.
En el archivo de configuración del clúster de usuario, completa la sección
cloudAuditLogging.Establece
cloudAuditLogging.projectIDen el ID del proyecto de registro de auditoría.Establece
cloudAuditLogging.clusterLocationen una Google Cloud región en la que quieras almacenar los registros de auditoría. Para obtener una latencia mejorada, elige una región que esté cerca de tu centro de datos local.Establece
cloudAuditLogging.serviceAccountKeyPathen la ruta de acceso del archivo de claves JSON de tu cuenta de servicio de registro de auditoría.
Por ejemplo:
cloudAuditLogging:
projectID: "my-project"
clusterLocation: "us-west1"
serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continúa con la creación del clúster como de costumbre.
Crea un clúster de usuario con los registros de auditoría de Cloud habilitados
Consulta Crea un clúster de usuario.
En el archivo de configuración del clúster de usuario, completa la sección
cloudAuditLogging.Establece
cloudAuditLogging.projectIDen el ID del proyecto de registro de auditoría.Establece
cloudAuditLogging.clusterLocationen una Google Cloud región en la que quieras almacenar los registros de auditoría. Para obtener una latencia mejorada, elige una región que esté cerca de tu centro de datos local.Establece
cloudAuditLogging.serviceAccounKeyPathen la ruta de acceso del archivo de claves JSON de la cuenta de servicio de los registros de auditoría de Cloud.Asegúrate de que la sección
gkeConnectesté completa y quegkeConnect.projectIDsea lo mismo quecloudAuditLogging.projectID.
Por ejemplo:
gkeConnect:
projectID: "my-project"
registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"
cloudAuditLogging:
projectID: "my-project"
clusterLocation: "us-west1"
serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"
Continúa con la creación del clúster como de costumbre.
Habilita los registros de auditoría de Cloud para un clúster de usuario existente.
Los registros de auditoría de Cloud solo se pueden habilitar en el proyecto Google Cloud en el que se registra el clúster de usuario.
Si un clúster de usuario existente no se registra, regístralo mediante estos pasos antes de habilitar los registros de auditoría de Cloud:
Agrega una sección
gkeConnectal archivo de configuración del clúster de usuario. Por ejemplo:gkeConnect: projectID: "my-project" registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"Actualiza el clúster:
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Después de registrar el clúster de usuario, sigue estos pasos para habilitar los registros de auditoría de Cloud:
Completa la sección
cloudAuditLoggingde tu archivo de configuración de clústeres de usuarios. Consulta Crea un clúster de usuario con los registros de auditoría de Cloud habilitados para obtener más detalles sobre los campos individuales). ElprojectIDde la seccióncloudAuditLoggingdebe ser el mismo que el de la seccióngkeConnect.Actualiza el clúster:
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Inhabilita los registros de auditoría de Cloud para un clúster de usuario existente
En el archivo de configuración del clúster de usuario, borra la sección
cloudAuditLogging.Actualiza el clúster de usuario:
gkectl update cluster --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] --config [USER_CLUSTER_CONFIG]
Accede a los registros de auditoría
Registro de auditoría basado en discos
Puedes encontrar los registros de auditoría del clúster de administrador en los nodos del plano de control en /var/log/kube-audit/kube-apiserver-audit.log. Los registros de auditoría del clúster de usuarios están en PersistentVolumeClaim con el nombre kube-audit-kube-apiserver-0. Puedes acceder a estos datos dentro de tus propios
pods a través de entradas volumes:
Agrega esta entrada para el clúster de administrador:
volumes:
- name: kube-audit
hostPath:
path: /var/log/kube-audit
type: ""
Agrega esta entrada para el clúster de usuarios:
volumes:
- name: kube-audit
persistentVolumeClaim:
claimName: kube-audit-kube-apiserver-0
Para programar tu Pod en el nodo de clúster de administrador correspondiente (y solo este nodo), debes agregar las secciones nodeSelector y tolerations a la especificación de tu Pod, como se muestra a continuación:
spec:
nodeSelector:
node-role.kubernetes.io/master: ''
tolerations:
- key: node-role.kubernetes.io/master
value: ""
effect: NoSchedule
Para el clúster de usuario, establece namespace como el nombre del clúster de usuario y, luego, establece nodeName como el mismo valor que kube-apiserver-0:
spec:
nodeName: NODE_NAME
Para señalar el nodeName de kube-apiserver-0, ejecuta el siguiente comando:
kubectl get pod kube-apiserver-0 -n USER_CLUSTER_NAME --kubeconfig kubeconfig -o jsonpath='{.spec.nodeName}'
El nombre de archivo de cada registro de auditoría tiene una marca de tiempo que indica cuándo se rotó el archivo. Un archivo contiene registros de auditoría hasta esa hora y fecha.
Accede a los Registros de auditoría de Cloud
Console
En la consola de Google Cloud , ve a la página Explorador de registros en el menú de Logging.
Ir al Explorador de registros.
Si se abre la página Visor de registros heredados, selecciona Actualizar al nuevo Explorador de registros en el menú desplegable Actualizar.
Haz clic en el campo Consulta para ingresar una consulta.
Ingresa la siguiente consulta en el campo Consulta:
resource.type="k8s_cluster" logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" protoPayload.serviceName="anthosgke.googleapis.com"Reemplaza
PROJECT_IDcon el ID del proyecto.Haz clic en Ejecutar consulta para mostrar todos los registros de auditoría de los clústeres que se configuraron para acceder a este proyecto.
gcloud
- Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso
k8s_cluster:
gcloud logging read \
'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
AND resource.type="k8s_cluster" \
AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
--limit 2 \
--freshness 300d
- Reemplaza
PROJECT_IDcon el ID del proyecto.
Los resultados muestran dos entradas de registro. Ten en cuenta que, para cada entrada de registro, el campo logName tiene el valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity y protoPayload.serviceName es igual a anthosgke.googleapis.com.
Política de auditoría
La política de auditoría de Kubernetes define reglas para los eventos que se registren como entradas de registro y especifica qué datos deben incluir las entradas del registro. El comportamiento de los registros de auditoría de Cloud se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. No se admite el cambio de esta política para modificar el comportamiento de los registros de auditoría de Cloud.