Mengelola secret di konfigurasi metrik Agen Operasional

Mengonfigurasi beberapa integrasi pihak ketiga mengharuskan Anda memberikan secret, seperti sandi, untuk penerima metrik Agen Operasional. Secara default, secret ini disimpan sebagai teks biasa dalam file config.yaml agen. Secret ini disertakan dalam log sistem yang ditulis oleh agen dan dikirimkan ke Cloud Logging, sehingga mengekspos secret di luar virtual machine (VM) tempat Ops Agent berjalan.

Mulai dari Ops Agent versi 2.57.0, Anda dapat menggunakan penyedia OpenTelemetry yang terintegrasi dengan Secret Manager untuk menghilangkan secret teks biasa dalam file konfigurasi Anda.

Penyedia adalah komponen konfigurasi OpenTelemetry, yang serupa dengan komponen penerima dan pemroses. Setiap penyedia memiliki jenis, dan setiap jenis penyedia memetakan ID tertentu dalam konfigurasi ke suatu nilai.

Penyedia googlesecretmanager memetakan ID Secret Manager ke secret, seperti sandi, token, dan kunci API, yang telah Anda simpan di Secret Manager. Penggunaan penyedia googlesecretmanager memberikan manfaat berikut:

  • Keamanan yang ditingkatkan: File konfigurasi Anda tidak berisi informasi sensitif seperti sandi. Secret sebenarnya disimpan di Secret Manager, layanan yang dirancang khusus untuk menyimpan, mengakses, dan mengelola data sensitif secara aman.
  • Mengurangi risiko eksposur: Secret Manager mengambil secret selama inisialisasi Ops Agent, yang mencegah secret teks biasa direkam secara tidak sengaja dalam log.

Anda hanya dapat menggunakan googlesecretmanager dalam konfigurasi pengumpulan metrik di konfigurasi Agen Operasional kustom. Jangan gunakan penyedia untuk mengganti secret dalam konfigurasi pengumpulan log.

Sebelum memulai

Untuk menggunakan penyedia googlesecretmanager, Anda harus mengaktifkan Secret Manager API dan mengizinkan akses ke API, seperti yang dijelaskan dalam langkah-langkah berikut:

  1. Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut: 

    gcloud init

    Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  2. Tetapkan project default untuk Google Cloud CLI:

    gcloud config set project PROJECT_ID

    Sebelum menjalankan perintah sebelumnya, ganti variabel PROJECT_ID dengan ID project Google Cloud Anda.

  3. Aktifkan Secret Manager API:

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran. 

    gcloud services enable secretmanager.googleapis.com
  4. Perbarui cakupan akses OAuth untuk instance Anda agar menyertakan cakupan yang diperlukan untuk Secret Manager, https://www.googleapis.com/auth/cloud-platform: 
    gcloud compute instances set-service-account "INSTANCE_ID" \
  --service-account "SERVICE_ACCT_EMAIL" \
  --scopes "https://www.googleapis.com/auth/cloud-platform"

    Sebelum menjalankan perintah sebelumnya, ganti variabel berikut:

    • INSTANCE_ID: ID VM Anda.
    • SERVICE_ACCT_EMAIL: alamat akun layanan yang terkait dengan VM.

    Untuk mengetahui informasi selengkapnya, lihat Mengakses Secret Manager API.

  5. Beri pengguna yang mengelola konfigurasi Agen Operasi izin yang diperlukan untuk membuat dan mengelola rahasia. Peran Identity and Access Management roles/secretManager.secretAdmin mencakup izin yang diperlukan: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:USER_EMAIL" \
  --role=roles/secretManager.secretAdmin

    Sebelum menjalankan perintah sebelumnya, ganti variabel berikut:

    • PROJECT_ID: ID Google Cloud project Anda.
    • USER_EMAIL: alamat pengguna yang diberi peran.
  6. Beri akun layanan yang terkait dengan VM izin yang diperlukan untuk mengakses secret. Peran Identity and Access Management roles/secretManager.secretAccessor mencakup izin yang diperlukan: 
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCT_EMAIL" \
  --role=roles/secretManager.secretAccessor

    Sebelum menjalankan perintah sebelumnya, ganti variabel berikut:

    • PROJECT_ID: ID Google Cloud project Anda.
    • SERVICE_ACCT_EMAIL: alamat akun layanan yang terkait dengan VM.

Mengganti secret teks biasa dengan secret terkelola

Untuk menghilangkan penggunaan secret teks biasa dalam file konfigurasi Anda dengan menggunakan Secret Manager dan penyedia googlesecretmanager, lakukan langkah-langkah berikut:

  1. Buat secret di Secret Manager untuk setiap secret teks biasa dalam file konfigurasi Anda.
  2. Ganti setiap secret teks biasa dalam file konfigurasi Anda dengan referensi ke secret yang sesuai di Secret Manager.

Misalnya, jika Anda menggunakan penerima metrik mysql, maka file konfigurasi Anda dapat menyertakan entri seperti berikut:

receivers:
  mysql:
    type: mysql
    username: root
    password: plaintext-secret

Dalam contoh ini, Anda ingin menempatkan string plaintext-secret ke dalam Secret Manager, lalu mengganti secret teks biasa dengan referensi ke secret terkelola.

Membuat secret Secret Manager untuk secret teks biasa

Untuk membuat secret Secret Manager yang berisi secret teks biasa plaintext-secret, jalankan perintah berikut: 
echo -n "plaintext-secret" | gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file=-

Sebelum menjalankan perintah sebelumnya, ganti variabel berikut:

  • plaintext-secret: Ganti dengan secret teks biasa Anda.
  • SECRET_NAME: Ganti dengan nama yang bermakna untuk secret Anda.

Nama resource yang sepenuhnya memenuhi syarat untuk secret baru Anda memiliki format berikut, dengan VERSION 1:

projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION

Untuk mengetahui informasi selengkapnya tentang cara menyimpan, membuat versi, dan mengakses secret di Secret Manager, lihat Membuat secret.

Mengganti secret teks biasa

Untuk memperbarui file konfigurasi, ganti setiap rahasia teks biasa dengan referensi ke penyedia googlesecretmanager dan nama resource rahasia terkelola, seperti yang ditunjukkan dalam contoh berikut:

receivers:
  mysql:
    type: mysql
    username: root
    password: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}

Mulai ulang Agen Operasional

Linux

  1. Untuk memulai ulang agen, jalankan perintah berikut di instance Anda: 
    sudo systemctl restart google-cloud-ops-agent
  2. Untuk mengonfirmasi bahwa agen telah dimulai ulang, jalankan perintah berikut dan verifikasi bahwa komponen "Metrics Agent" dan "Logging Agent" telah dimulai: 
    sudo systemctl status "google-cloud-ops-agent*"

Windows

  1. Hubungkan ke instance Anda menggunakan RDP atau alat serupa dan login ke Windows.
  2. Buka terminal PowerShell dengan hak istimewa administrator dengan mengklik kanan ikon PowerShell dan memilih Run as Administrator
  3. Untuk memulai ulang agen, jalankan perintah PowerShell berikut: 
    Restart-Service google-cloud-ops-agent -Force
  4. Untuk mengonfirmasi bahwa agen telah dimulai ulang, jalankan perintah berikut dan verifikasi bahwa komponen "Metrics Agent" dan "Logging Agent" telah dimulai: 
    Get-Service google-cloud-ops-agent*