Questa pagina è stata tradotta dall'API Cloud Translation.

Hashicorp Vault

Vault è un sistema di gestione dei secret e della crittografia basato sull'identità. Questa integrazione raccoglie i log di controllo di Vault. L'integrazione raccoglie anche metriche relative a token, memoria e spazio di archiviazione.

Per ulteriori informazioni su Vault, consulta la documentazione di Hashicorp Vault.

Prerequisiti

Per raccogliere la telemetria di Vault, devi installare Ops Agent:

Per le metriche, installa la versione 2.18.2 o successive.
Per i log, installa la versione 2.18.1 o successive.

Questa integrazione supporta Vault versione 1.6 e successive.

Configura l'istanza Vault

Per raccogliere la telemetria dall'istanza di Vault, devi impostare il campo prometheus_retention_time su un valore diverso da zero nel file di configurazione JSON o HCL di Vault.

Full configuration options can be found at https://www.vaultproject.io/docs/configuration
telemetry {
  prometheus_retention_time = "10m"
  disable_hostname = false
}

Inoltre, è necessario un utente root per abilitare la raccolta degli audit log e per creare una policy ACL prometheus-metrics. Un token root viene utilizzato per aggiungere un criterio con funzionalità di lettura all'endpoint /sys/metrics. Questo criterio viene utilizzato per creare un token Vault con autorizzazioni sufficienti per raccogliere le metriche di Vault.

Se inizializzi Vault per la prima volta, puoi utilizzare il seguente script per generare un token root. In caso contrario, consulta Generare token root utilizzando chiavi di sblocco per informazioni sulla generazione di un token root.

export VAULT_ADDR=http://localhost:8200
# Create simple Vault initialization with 1 key share and a key threshold of 1.
vault operator init -key-shares=1 -key-threshold=1 | head -n3 | cat > .vault-init
VAULT_KEY=$(grep 'Unseal Key 1'  .vault-init | awk '{print $NF}')
VAULT_TOKEN=$(grep 'Initial Root Token:' .vault-init | awk '{print $NF}')
export VAULT_TOKEN
vault operator unseal $VAULT_KEY

# Enable audit logs.
vault audit enable file file_path=/var/log/vault_audit.log

# Create Prometheus ACL policy to access metrics endpoint.
vault policy write prometheus-metrics - << EOF
path "/sys/metrics" {
  capabilities = ["read"]
}
EOF

# Create an example token with the prometheus-metrics policy to access Vault metrics.
# This token is used as `$VAULT_TOKEN` in your Ops Agent configuration for Vault.
vault token create -field=token -policy prometheus-metrics > prometheus-token

Configura Ops Agent per Vault

Segui la guida per configurare Ops Agent, aggiungi gli elementi richiesti per raccogliere i dati di telemetria dalle istanze Vault e riavvia l'agente.

Configurazione di esempio

I seguenti comandi creano la configurazione per raccogliere e importare la telemetria per Vault:

# Configures Ops Agent to collect telemetry from the app. You must restart the agent for the configuration to take effect.

set -e

# Check if the file exists
if [ ! -f /etc/google-cloud-ops-agent/config.yaml ]; then
  # Create the file if it doesn't exist.
  sudo mkdir -p /etc/google-cloud-ops-agent
  sudo touch /etc/google-cloud-ops-agent/config.yaml
fi

# Create a back up of the existing file so existing configurations are not lost.
sudo cp /etc/google-cloud-ops-agent/config.yaml /etc/google-cloud-ops-agent/config.yaml.bak

# Create a Vault token that has read capabilities to /sys/metrics policy.
# For more information see: https://developer.hashicorp.com/vault/tutorials/monitoring/monitor-telemetry-grafana-prometheus?in=vault%2Fmonitoring#define-prometheus-acl-policy
VAULT_TOKEN=$(cat prometheus-token)


sudo tee /etc/google-cloud-ops-agent/config.yaml > /dev/null << EOF
metrics:
  receivers:
    vault:
      type: vault
      token: $VAULT_TOKEN
      endpoint: 127.0.0.1:8200
  service:
    pipelines:
      vault:
        receivers:
          - vault
logging:
  receivers:
    vault_audit:
      type: vault_audit
      include_paths: [/var/log/vault_audit.log]
  service:
    pipelines:
      vault:
        receivers:
          - vault_audit
EOF

Per applicare queste modifiche, devi riavviare l'Ops Agent:

Linux

Per riavviare l'agente, esegui il seguente comando sull'istanza:
```
sudo systemctl restart google-cloud-ops-agent
```
Per verificare che l'agente sia stato riavviato, esegui il seguente comando e verifica che i componenti "Agente Metriche" e "Agente Logging" siano stati avviati:
```
sudo systemctl status "google-cloud-ops-agent*"
```

Windows

Connettiti all'istanza utilizzando RDP o uno strumento simile e accedi a Windows.
Apri un terminale PowerShell con privilegi di amministratore facendo clic con il tasto destro del mouse sull'icona di PowerShell e selezionando Esegui come amministratore.
Per riavviare l'agente, esegui il seguente comando PowerShell:
```
Restart-Service google-cloud-ops-agent -Force
```
Per verificare che l'agente sia stato riavviato, esegui il seguente comando e verifica che i componenti "Agente Metriche" e "Agente Logging" siano stati avviati:
```
Get-Service google-cloud-ops-agent*
```

Configura la raccolta dei log

Per importare i log da Vault, devi creare un ricevitore per i log prodotti da Vault e poi creare una pipeline per il nuovo ricevitore.

Per configurare un ricevitore per i log vault_audit, specifica i seguenti campi:

Campo	Predefinito	Descrizione
`exclude_paths`		Un elenco di pattern di percorso del file system da escludere dal set corrispondente a `include_paths`.
`include_paths`		Un elenco di percorsi del file system da leggere seguendo ogni file. Nei percorsi è possibile utilizzare un carattere jolly (`*`).
`record_log_file_path`	`false`	Se è impostato su `true`, il percorso del file specifico da cui è stato ottenuto il record di log viene visualizzato nella voce di log di output come valore dell'etichetta `agent.googleapis.com/log_file_path`. Quando si utilizza un carattere jolly, viene registrato solo il percorso del file da cui è stato ottenuto il record.
`type`		Il valore deve essere `vault_audit`.
`wildcard_refresh_interval`	`60s`	L'intervallo con cui vengono aggiornati i percorsi dei file con caratteri jolly in `include_paths`. Indicato come durata di tempo, ad esempio `30s` o `2m`. Questa proprietà potrebbe essere utile in caso di velocità effettiva di logging elevata, in cui i file di log vengono ruotati più rapidamente dell'intervallo predefinito.

Che cosa viene registrato

logName deriva dagli ID destinatario specificati nella configurazione. I campi dettagliati all'interno di LogEntry sono i seguenti.

I log vault_audit contengono i seguenti campi in LogEntry:

Campo	Tipo	Descrizione
`jsonPayload.auth`	struct
`jsonPayload.auth.accessor`	string	Questo è un HMAC dell'accessor del token client.
`jsonPayload.auth.client_token`	string	Si tratta di un HMAC dell'ID token del client.
`jsonPayload.auth.display_name`	string	Questo è il nome visualizzato impostato dal ruolo del metodo di autenticazione o in modo esplicito al momento della creazione del secret.
`jsonPayload.auth.entity_id`	string	Si tratta di un identificatore di entità token.
`jsonPayload.auth.metadata`	oggetto	Questo campo conterrà un elenco di coppie chiave/valore dei metadati associate a client_token.
`jsonPayload.auth.policies`	oggetto	Questo campo conterrà un elenco di policy associate a client_token.
`jsonPayload.auth.token_type`	string
`jsonPayload.error`	string	Se si è verificato un errore con la richiesta, il messaggio di errore è incluso nel valore di questo campo.
`jsonPayload.request`	struct
`jsonPayload.request.client_token`	string	Si tratta di un HMAC dell'ID token del client.
`jsonPayload.request.client_token_accessor`	string	Questo è un HMAC dell'accessor del token client.
`jsonPayload.request.data`	oggetto	L'oggetto dati conterrà dati sensibili in coppie chiave/valore.
`jsonPayload.request.headers`	oggetto	Intestazioni HTTP aggiuntive specificate dal client nell'ambito della richiesta.
`jsonPayload.request.id`	string	Si tratta dell'identificatore univoco della richiesta.
`jsonPayload.request.namespace.id`	string
`jsonPayload.request.operation`	string	Questo è il tipo di operazione che corrisponde alle funzionalità del percorso e che dovrebbe essere uno dei seguenti: `create`, `read`, `update`, `delete` o `list`.
`jsonPayload.request.path`	string	Il percorso Vault richiesto per l'operazione.
`jsonPayload.request.policy_override`	boolean	Questo è `true` quando è stato richiesto l'override di un criterio soft-mandatory.
`jsonPayload.request.remote_address`	string	L'indirizzo IP del client che effettua la richiesta.
`jsonPayload.request.wrap_ttl`	string	Se il token è sottoposto a wrapping, viene visualizzato il valore TTL sottoposto a wrapping configurato come stringa numerica.
`jsonPayload.response`	struct
`jsonPayload.response.data.accessor`	string	Questo è un HMAC dell'accessor del token client.
`jsonPayload.response.data.creation_time`	string	Timestamp nel formato RFC 3339 della creazione del token.
`jsonPayload.response.data.creation_ttl`	string	TTL di creazione del token in secondi.
`jsonPayload.response.data.display_name`	string	Questo è il nome visualizzato impostato dal ruolo del metodo di autenticazione o in modo esplicito al momento della creazione del secret.
`jsonPayload.response.data.entity_id`	string	Si tratta di un identificatore di entità token.
`jsonPayload.response.data.expire_time`	string	Timestamp in formato RFC 3339 che rappresenta il momento in cui questo token scadrà.
`jsonPayload.response.data.explicit_max_ttl`	string	Valore TTL massimo esplicito del token in secondi ("0" se non impostato).
`jsonPayload.response.data.id`	string	Si tratta dell'identificatore univoco della risposta.
`jsonPayload.response.data.issue_time`	string	Timestamp in formato RFC 3339.
`jsonPayload.response.data.num_uses`	numero	Se il token è limitato a un numero di utilizzi, questo valore verrà rappresentato qui.
`jsonPayload.response.data.orphan`	boolean	Valore booleano che indica se il token è orfano.
`jsonPayload.response.data.path`	string	Il percorso Vault richiesto per l'operazione.
`jsonPayload.response.data.policies`	oggetto	Questo campo conterrà un elenco di policy associate a client_token.
`jsonPayload.response.data.renewable`	boolean	Valore booleano che indica se il token è orfano.
`jsonPayload.type`	string	Il tipo di audit log.
`severity`	stringa (`LogSeverity`)	Livello della voce di log (tradotto).

Configurazione della raccolta di metriche

Per importare le metriche da Vault, devi creare un ricevitore per le metriche prodotte da Vault e poi creare una pipeline per il nuovo ricevitore.

Questo ricevitore non supporta l'utilizzo di più istanze nella configurazione, ad esempio per monitorare più endpoint. Tutte queste istanze scrivono nella stessa serie temporale e Cloud Monitoring non ha modo di distinguerle.

Per configurare un ricevitore per le metriche vault, specifica i seguenti campi:

Campo	Predefinito	Descrizione
`ca_file`		Percorso del certificato CA. In qualità di client, verifica il certificato del server. Se è vuoto, il destinatario utilizza la CA radice del sistema.
`cert_file`		Percorso del certificato TLS da utilizzare per le connessioni che richiedono mTLS reciproco.
`collection_interval`	`60s`	Un valore di durata, ad esempio `30s` o `5m`.
`endpoint`	`localhost:8200`	"hostname:port" utilizzato da Vault.
`insecure`	`true`	Imposta se utilizzare o meno una connessione TLS sicura. Se impostato su `false`, TLS è abilitato.
`insecure_skip_verify`	`false`	Imposta se ignorare o meno la verifica del certificato. Se `insecure` è impostato su `true`, il valore di `insecure_skip_verify` non viene utilizzato.
`key_file`		Percorso della chiave TLS da utilizzare per le connessioni che richiedono mTLS reciproco.
`metrics_path`	`/v1/sys/metrics`	Il percorso per la raccolta delle metriche.
`token`	`localhost:8200`	Token utilizzato per l'autenticazione.
`type`		Questo valore deve essere `vault`.

Che cosa viene monitorato

La tabella seguente fornisce l'elenco delle metriche raccolte da Ops Agent dall'istanza Vault.

Tipo di metrica
Tipo, Tipo Risorse monitorate	Etichette
`workload.googleapis.com/vault.audit.request.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.audit.response.failed`
`CUMULATIVE`, `INT64` gce_instance
`workload.googleapis.com/vault.core.leader.duration`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.core.request.count`
`GAUGE`, `INT64` gce_instance	`cluster`
`workload.googleapis.com/vault.memory.usage`
`GAUGE`, `DOUBLE` gce_instance
`workload.googleapis.com/vault.storage.operation.delete.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.delete.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.get.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.list.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.count`
`CUMULATIVE`, `INT64` gce_instance	`storage`
`workload.googleapis.com/vault.storage.operation.put.time`
`CUMULATIVE`, `DOUBLE` gce_instance	`storage`
`workload.googleapis.com/vault.token.count`
`GAUGE`, `INT64` gce_instance	`cluster` `namespace`
`workload.googleapis.com/vault.token.lease.count`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.renew.time`
`GAUGE`, `INT64` gce_instance
`workload.googleapis.com/vault.token.revoke.time`
`GAUGE`, `INT64` gce_instance

Verificare la configurazione

Questa sezione descrive come verificare di aver configurato correttamente il ricevitore Vault. Potrebbero essere necessari uno o due minuti prima che Ops Agent inizi a raccogliere i dati di telemetria.

Per verificare che i log di Vault vengano inviati a Cloud Logging, procedi nel seguente modo:

Nella Google Cloud console, vai alla pagina Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Inserisci la seguente query nell'editor e poi fai clic su Esegui query:
```
resource.type="gce_instance"
log_id("vault_audit")
```

Per verificare che le metriche di Vault vengano inviate a Cloud Monitoring, procedi nel seguente modo:

Nella console Google Cloud , vai alla pagina Esplora metriche:
Vai a Esplora metriche

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Nella barra degli strumenti del riquadro Query Builder, seleziona il pulsante il cui nome è MQL o PromQL.
Verifica che PromQL sia selezionato nel pulsante di attivazione/disattivazione Lingua. Il pulsante di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che ti consente di formattare la query.

Inserisci la seguente query nell'editor e poi fai clic su Esegui query:

{"workload.googleapis.com/vault.memory.usage", monitored_resource="gce_instance"}

Visualizza dashboard

Per visualizzare le metriche di Vault, devi configurare un grafico o una dashboard. L'integrazione di Vault include una o più dashboard. Le dashboard vengono installate automaticamente dopo la configurazione dell'integrazione e l'inizio della raccolta dei dati delle metriche da parte di Ops Agent.

Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.

Per visualizzare una dashboard installata:

Nella console Google Cloud , vai alla pagina Dashboard:
Vai a Dashboard

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Seleziona la scheda Elenco dashboard e poi scegli la categoria Integrazioni.
Fai clic sul nome della dashboard che vuoi visualizzare.

Se hai configurato un'integrazione, ma la dashboard non è stata installata, verifica che Ops Agent sia in esecuzione. Se non sono presenti dati delle metriche per un grafico nella dashboard, l'installazione della dashboard non va a buon fine. Dopo che Ops Agent inizia a raccogliere le metriche, la dashboard viene installata per te.

Per visualizzare un'anteprima statica della dashboard:

Nella console Google Cloud , vai alla pagina Integrazioni:
Vai a Integrazioni

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Fai clic sul filtro Compute Engine della piattaforma di deployment.
Individua la voce relativa a Vault e fai clic su Visualizza dettagli.
Seleziona la scheda Dashboard per visualizzare un'anteprima statica. Se la dashboard è installata, puoi accedervi facendo clic su Visualizza dashboard.

Per ulteriori informazioni sulle dashboard in Cloud Monitoring, consulta Dashboard e grafici.

Per saperne di più sull'utilizzo della pagina Integrazioni, consulta Gestire le integrazioni.

Installare criteri di avviso

I criteri di avviso indicano a Cloud Monitoring di inviarti una notifica quando si verificano le condizioni specificate. L'integrazione di Vault include uno o più criteri di avviso da utilizzare. Puoi visualizzare e installare queste norme di avviso dalla pagina Integrazioni in Monitoring.

Per visualizzare le descrizioni dei criteri di avviso disponibili e installarli, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Integrazioni:
Vai a Integrazioni

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
Individua la voce relativa a Vault e fai clic su Visualizza dettagli.
Seleziona la scheda Avvisi. Questa scheda fornisce descrizioni dei criteri di avviso disponibili e un'interfaccia per installarli.
Installa criteri di avviso. I criteri di avviso devono sapere dove inviare le notifiche di attivazione dell'avviso, pertanto richiedono informazioni per l'installazione. Per installare i criteri di avviso:
1. Dall'elenco dei criteri di avviso disponibili, seleziona quelli che vuoi installare.
2. Nella sezione Configura le notifiche, seleziona uno o più canali di notifica. Hai la possibilità di disattivare l'utilizzo dei canali di notifica, ma in questo caso i criteri di avviso vengono attivati in modalità silenziosa. Puoi controllare il loro stato in Monitoraggio, ma non ricevi notifiche.
  
  Per saperne di più sui canali di notifica, consulta l'articolo Gestire i canali di notifica.
3. Fai clic su Crea policy.

Per ulteriori informazioni sui criteri di avviso in Cloud Monitoring, consulta la pagina Introduzione agli avvisi.