在作業套件代理程式指標設定中管理密鑰

設定部分第三方整合服務時,您必須為 Ops Agent 指標接收器提供密碼等 Secret。根據預設,這些密碼會以純文字形式儲存在代理程式的 config.yaml 檔案中。代理程式寫入的系統記錄檔會包含這些密鑰,並傳輸至 Cloud Logging,導致密鑰暴露在執行 Ops Agent 的虛擬機器 (VM) 之外。

從作業套件代理程式 2.57.0 版開始,您可以使用整合式 Secret Manager 的 OpenTelemetry 提供者,消除設定檔中的純文字密鑰。

提供者是 OpenTelemetry 設定元件,類似於接收器和處理器元件。每個供應商都有類型,且每種供應商類型都會將設定中的特定 ID 對應至值。

googlesecretmanager 供應商會將 Secret Manager 識別碼對應至您儲存在 Secret Manager 中的密鑰,例如密碼、權杖和 API 金鑰。使用 googlesecretmanager 供應器有下列好處:

  • 提升安全性:設定檔不會包含密碼等私密資訊。實際密鑰會儲存在 Secret Manager 中,這項服務專門用於安全地儲存、存取及管理機密資料。
  • 降低外洩風險:Secret Manager 會在 Ops Agent 初始化期間擷取密鑰,避免純文字密鑰意外記錄在記錄檔中。

您只能在自訂 Ops Agent 設定中,設定指標收集功能時使用 googlesecretmanager。請勿使用供應商來取代記錄收集設定中的密鑰。

事前準備

如要使用 googlesecretmanager 提供者,請按照下列步驟啟用 Secret Manager API 並允許存取該 API:

  1. 安裝 Google Cloud CLI。 完成後,執行下列指令來初始化 Google Cloud CLI:

    gcloud init

    若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI

  2. 設定 Google Cloud CLI 的預設專案:

    gcloud config set project PROJECT_ID

    執行上述指令前,請將 PROJECT_ID 變數替換為專案的 ID。 Google Cloud

  3. 啟用 Secret Manager API:

    啟用 API 時所需的角色

    如要啟用 API,您需要具備服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色

    gcloud services enable secretmanager.googleapis.com
  4. 更新執行個體的 OAuth 存取範圍,加入 Secret Manager 的必要範圍 https://www.googleapis.com/auth/cloud-platform
    gcloud compute instances set-service-account "INSTANCE_ID" \
  --service-account "SERVICE_ACCT_EMAIL" \
  --scopes "https://www.googleapis.com/auth/cloud-platform"

    執行上一個指令前,請替換下列變數:

    • INSTANCE_ID:虛擬機器的 ID。
    • SERVICE_ACCT_EMAIL:與 VM 相關聯的服務帳戶地址。

    詳情請參閱「 存取 Secret Manager API」。

  5. 授予管理 Ops Agent 設定的使用者建立及管理 Secret 所需的權限。Identity and Access Management 角色 roles/secretManager.secretAdmin 包含下列必要權限:
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:USER_EMAIL" \
  --role=roles/secretManager.secretAdmin

    執行上一個指令前,請替換下列變數:

    • PROJECT_ID:專案的 ID。 Google Cloud
    • USER_EMAIL:獲授角色的使用者地址。
  6. 授予與 VM 相關聯的服務帳戶存取密鑰所需的權限。Identity and Access Management 角色 roles/secretManager.secretAccessor 包含下列必要權限:
    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCT_EMAIL" \
  --role=roles/secretManager.secretAccessor

    執行上一個指令前,請替換下列變數:

    • PROJECT_ID: Google Cloud 專案的 ID。
    • SERVICE_ACCT_EMAIL:與 VM 相關聯的服務帳戶地址。

以受管理密鑰取代純文字密鑰

如要使用 Secret Manager 和 googlesecretmanager provider,避免在設定檔中使用明文 Secret,請按照下列步驟操作:

  1. 在 Secret Manager 中,為設定檔中的每個純文字密鑰建立密鑰。
  2. 將設定檔中的每個純文字密鑰,替換為 Secret Manager 中對應密鑰的參照。

舉例來說,如果您使用 mysql 指標接收器,設定檔可能包含類似下列的項目:

receivers:
  mysql:
    type: mysql
    username: root
    password: plaintext-secret

在本例中,您要將 plaintext-secret 字串放入 Secret Manager,然後將純文字密鑰替換為受管理密鑰的參照。

為純文字密鑰建立 Secret Manager 密鑰

如要建立包含純文字密鑰 plaintext-secret 的 Secret Manager 密鑰,請執行下列指令:
echo -n "plaintext-secret" | gcloud secrets create SECRET_NAME \
    --replication-policy="automatic" \
    --data-file=-

執行上一個指令前,請替換下列變數:

  • plaintext-secret:替換為明文密碼。
  • SECRET_NAME:請將此值替換為有意義的密鑰名稱。

新密鑰的完整資源名稱格式如下,其中 VERSION1

projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION

如要進一步瞭解如何在 Secret Manager 中儲存、版本化及存取密鑰,請參閱「建立密鑰」。

取代純文字密鑰

如要更新設定檔,請將每個明文密碼替換為 googlesecretmanager provider 和受管理 Secret 的資源名稱參照,如下列範例所示:

receivers:
  mysql:
    type: mysql
    username: root
    password: ${googlesecretmanager:projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION}

重新啟動 Ops Agent

Linux

  1. 如要重新啟動代理程式,請在執行個體上執行下列指令: 
    sudo systemctl restart google-cloud-ops-agent
  2. 如要確定代理程式已重新啟動,請執行下列指令,並驗證「指標代理程式」和「Logging 代理程式」元件是否已啟動: 
    sudo systemctl status "google-cloud-ops-agent*"

Windows

  1. 使用遠端桌面協定或類似工具連線至執行個體,並登入 Windows。
  2. 以滑鼠右鍵按一下 PowerShell 圖示,然後選取「以系統管理員身分執行」,以管理員權限開啟 PowerShell 終端機。
  3. 如要重新啟動代理程式,請執行下列 PowerShell 指令: 
    Restart-Service google-cloud-ops-agent -Force
  4. 如要確定代理程式已重新啟動,請執行下列指令,並驗證「指標代理程式」和「Logging 代理程式」元件是否已啟動: 
    Get-Service google-cloud-ops-agent*