Ansichten:
Profilanwendbarkeit: Stufe 1
Senden Sie Protokolle und Metriken an einen entfernten Aggregator, um das Risiko einer lokalen Manipulation im Falle eines Sicherheitsvorfalls zu mindern.
Das Exportieren von Protokollen und Metriken in einen dedizierten, persistenten Datenspeicher wie Cloud Operations für GKE gewährleistet die Verfügbarkeit von Audit-Daten nach einem Sicherheitsvorfall im Cluster und bietet einen zentralen Ort für die Analyse von Protokoll- und Metrikdaten, die aus mehreren Quellen zusammengetragen wurden.
Hinweis
Hinweis
Protokollierung und Cloud-Überwachung sind standardmäßig ab GKE-Version 1.14 aktiviert; Unterstützung für Legacy-Protokollierung und -Überwachung ist standardmäßig für frühere Versionen aktiviert.

Prüfung

Verwendung der Google Cloud Console:
PROTOKOLLIERUNG UND CLOUD-ÜBERWACHUNGSUNTERSTÜTZUNG (BEVORZUGT):
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
  2. Wählen Sie aus der Liste der Cluster den gewünschten Cluster aus.
  3. Unter dem Detailbereich, im Abschnitt Funktionen, stellen Sie sicher, dass die Protokollierung aktiviert ist.
  4. Stellen Sie außerdem sicher, dass die Cloud-Überwachung aktiviert ist.
UNTERSTÜTZUNG FÜR LEGACY STACKDRIVER:
Diese Option kann in der GCP-Konsole nicht überprüft werden.
Verwendung der Befehlszeile:
PROTOKOLLIERUNG UND CLOUD-ÜBERWACHUNGSUNTERSTÜTZUNG (BEVORZUGT):
Definieren Sie zuerst 3 Variablen für Clustername, Standort und Projekt und führen Sie dann die folgenden Befehle aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.loggingService' gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.monitoringService'
Die Ausgabe der obigen Befehle sollte logging.googleapis.com/kubernetes und monitoring.googleapis.com/kubernetes zurückgeben, wenn Logging und Cloud Monitoring Aktiviert sind.
UNTERSTÜTZUNG FÜR LEGACY STACKDRIVER:
Hinweis
Hinweis
Diese Funktionalität wurde am 31. März 2021 außer Betrieb genommen und wird hier aus Gründen der Nachwelt aufbewahrt (siehe: Google Cloud-Dokumentation für weitere Informationen).
Sowohl die Protokollierungs- als auch die Überwachungsunterstützung muss aktiviert sein.
Für das Logging führen Sie den folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.loggingService'
Die Ausgabe sollte logging.googleapis.com zurückgeben, wenn Legacy Stackdriver Logging Aktiviert ist.
Für die Überwachung führen Sie den folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.monitoringService'
Die Ausgabe sollte monitoring.googleapis.com zurückgeben, wenn Legacy Stackdriver Monitoring Aktiviert ist.

Wiederherstellung

Verwenden der Google Cloud Console: So aktivieren Sie die Protokollierung:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den Cluster aus, für den das Logging deaktiviert ist.
  3. Klicken Sie im Detailbereich im Abschnitt Funktionen auf das Stiftsymbol mit der Bezeichnung Protokollierung bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Protokollierung aktivieren.
  5. Im Dropdown-Menü Komponenten wählen Sie die Komponenten aus, die protokolliert werden sollen.
  6. Klicken Sie auf ÄNDERUNGEN SPEICHERN und warten Sie, bis das Cluster aktualisiert wird.
Um die Cloud-Überwachung zu aktivieren:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den Cluster aus, für den das Logging deaktiviert ist.
  3. Klicken Sie im Detailbereich im Abschnitt Funktionen auf das Stiftsymbol mit der Bezeichnung Cloud-Überwachung bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Cloud-Überwachung aktivieren.
  5. Im Dropdown-Menü Komponenten wählen Sie die Komponenten aus, die protokolliert werden sollen.
  6. Klicken Sie auf ÄNDERUNGEN SPEICHERN und warten Sie, bis das Cluster aktualisiert wird.
Verwendung der Befehlszeile:
Um das Logging für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --location <location> -- logging=<components_to_be_logged>
Siehe GKE-Metrikdokumentation für eine Liste der verfügbaren Metriken zum Protokollieren.
Um die Cloud-Überwachung für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --location <location> -- monitoring=<components_to_be_logged>
Siehe GKE-Logging-Dokumentation für eine Liste der verfügbaren Logging-Werte.