Журналы аудита GKE - какие журналы генерирует GKE?

Question

в соответствии с документацией существует три вида аудита: журналы аудита активности администратора, журналы системных событий и журналы аудита доступа к данным.

какие журналы генерируется кластером GKE? это не ясно для меня. Я хотел бы понять, что будет ценообразование

https://cloud.google.com/stackdriver/pricing

Answer 1

Согласно документации:

1. Журналы действий администратора - они включены по умолчанию бесплатно
   • k8s_cluster - Записи журнала написанные сервером API Kubernetes применяются к типу ресурса k8s_cluster. Эти записи журнала описывают операции с ресурсами Kubernetes в вашем кластере, например, Pod, Deployments и Secrets.

   logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
   protoPayload.serviceName="k8s.io"
   

   • gke_cluster - Записи журнала, записанные сервером API Kubernetes Engine, применяются к ресурсу gke_cluster. Эти записи журнала описывают такие операции, как создание и удаление кластера.

   logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
   protoPayload.serviceName="gke_cluster"
   

2. Журналы доступа к данным - Журналы аудита доступа к данным содержат вызовы API, которые читают конфигурацию или метаданные ресурсы, а также пользовательские вызовы API, которые создают, изменяют или читают предоставленные пользователем данные о ресурсах. Журналы аудита доступа к данным не регистрируют операции доступа к данным на общедоступных ресурсах (доступных для всех пользователей или всех прошедших проверку пользователей) или к которым можно получить доступ без входа в Google Cloud. Журналы доступа к данным - это то, что может очень широко регистрироваться в зависимости от конфигурации . Те, кому нужно включить себя, могут оплачиваться согласно квотам .

Существует 3 вида операций, которые вы хотите регистрировать:

• ADMIN_READ: Записывает операции, которые читают метаданные или информацию о конфигурации.
• DATA_READ: Записывает операции, которые читают предоставленные пользователем данные (например, CRD).
• DATA_WRITE: Записывает операции, которые записывают предоставленные пользователем данные (например, CRD).

resource.type="k8s_cluster"
logName="projects/my-project/logs/cloudaudit.googleapis.com%2Fdata_access"

Для большинства проектов достаточно активности администратора. Если вам необходимо регистрировать, к какому типу ресурсов какой сервис / пользователь имеет доступ, вам следует включить журналы доступа к данным.

Подробнее здесь Журналы аудита GKE