我计划在 GKE 中创建多个我的应用程序实例,并且正在考虑使用 Google Stackdriver 进行审计日志记录。但是,从我在访问控制文档 (https://cloud.google.com/logging/docs/access-control) 中可以看到,logWriter 角色适用于整个项目。我显然只想让每个实例能够写入自己的日志。这可能吗?
我的计划是将日志从 Stackdriver 发送到 BigQuery。一种可能是直接发送到 BigQuery,但似乎无法将帐户限制为仅插入。另一个是每个应用程序(GKE 命名空间)一个单独的项目——但这似乎过于复杂,不推荐使用。
谢谢!
【问题讨论】:
标签: google-cloud-platform stackdriver google-cloud-stackdriver
对于 GCE/GKE 集群上的每个实例,您都可以启用或禁用日志记录功能。对于单个 GCE 实例,您可以选择禁用对 API 的访问,或者仅在创建实例时使用具有“logwriter”角色的服务帐户 [1]。
对于 GKE,您可以同时启用/禁用对 Stackdriver Logging API 的访问,并向下渗透到节点池实例。工作方式很简单,“fluentd”pod 将使用节点的服务帐户将日志发送到 stackdriver API。
根据将日志从 Stackdriver 发送到 Bigquery,您需要使用 Sink [2]。 Sink 将创建一个新的服务帐户,称为唯一写入者身份,并且您的导出目标 (BigQuery) 必须允许此服务帐户写入日志条目,如 [3] 中所述
[1]https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances?hl=en_US&_ga=2.210364631.-390700867.1538154355 [2]https://cloud.google.com/logging/docs/export/configure_export_v2 [3]https://cloud.google.com/logging/docs/export/configure_export_v2#dest-auth
【讨论】: