設定檔適用性:級別 1
將日誌和指標發送到遠端聚合器,以降低在發生漏洞時本地篡改的風險。
將日誌和指標匯出到專用的持久性資料存儲,例如 GKE 的雲端運營,確保在叢集安全事件後審核資料的可用性,並提供一個集中位置資訊以分析從多個來源收集的日誌和指標資料。
 |
注意從 GKE 版本 1.14 開始,預設啟用日誌記錄和雲端監控;較早版本則預設啟用舊版日誌記錄和監控技術支援中心。
|
影響
稽核
使用 Google 雲端主控台:
記錄和雲端監控技術支援中心(優先):
- 前往Kubernetes Engine 網站。
- 從叢集列表中,點擊您感興趣的叢集。
- 在詳細資訊窗格中的功能部分,確保日誌記錄已啟動。
- 還要確保雲端監控已啟動。
LEGACY STACKDRIVER 技術支援中心:
此選項無法在 GCP 控制台中勾選。
使用命令列:
記錄和雲端監控技術支援中心(優先):
執行下列命令:
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.loggingService' gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.monitoringService'
如果已啟動記錄和雲端監控,上述命令的輸出應分別返回
logging.googleapis.com/kubernetes 和 monitoring.googleapis.com/kubernetes。LEGACY STACKDRIVER 技術支援中心:
|
注意此功能已於 2021 年 3 月 31 日停用,保留在此以供後人參考(請參閱 Google 文件 以獲取詳細資訊)
|
必須啟動日誌記錄和監控技術支援中心。對於日誌記錄,請執行以下命令:
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.loggingService'
如果已啟動舊版 Stackdriver 監控,則輸出應返回
monitoring.googleapis.com。補救
使用 Google 雲端主控台:
啟用記錄:
- 前往Kubernetes Engine 網站。
- 選擇已停用記錄的叢集。
- 在詳細資訊窗格的功能區中,點擊名為編輯日誌的鉛筆圖示。
- 勾選啟用記錄旁的方框。
- 在下拉式元件框中,選擇要記錄的元件。
- 點擊SAVE CHANGES,然後等待叢集更新。
要啟用雲端監控:
- 前往Kubernetes Engine 網站。
- 選擇已停用記錄的叢集。
- 在詳細資訊窗格的功能區中,點擊名為編輯雲端監控的鉛筆圖示。
- 勾選旁邊的方框以啟用雲端監控。
- 在下拉式元件框中,選擇要記錄的元件。
- 點擊SAVE CHANGES,然後等待叢集更新。
使用命令列:
要為現有叢集啟用日誌記錄,請執行以下命令:
gcloud container clusters update <cluster_name> --zone <compute_zone> --logging=<components_to_be_logged>
|
注意請參閱Google 文件以獲取可用的日誌記錄元件列表。
|
要為現有叢集啟用雲端監控,請執行以下命令:
gcloud container clusters update <cluster_name> --zone <compute_zone> --monitoring=<components_to_be_logged>
|
注意請參閱Google 文件以獲取雲端監控的可用元件列表。
|