我计划在GKE中有几个应用程序实例,并且正在考虑使用Google Stackdriver进行审核日志记录。但是,从访问控制文档(https://cloud.google.com/logging/docs/access-control)中可以看到,logWriter角色适用于整个项目。我显然只希望允许每个实例能够写入其自己的日志。这可能吗?
我的计划是将日志从Stackdriver发送到BigQuery。一种可能是直接发送到BigQuery,但似乎无法将帐户限制为仅插入。另一个是每个应用程序一个单独的项目(GKE名称空间)-但这似乎过于复杂,因此不建议这样做。
谢谢!
答案 0 :(得分:1)
对于GCE / GKE群集上的每个实例,您都可以启用或禁用日志记录功能。对于单个GCE实例,您可以选择仅在创建实例[1]时才禁用对API的访问或使用具有“日志作者”角色的服务帐户。
对于GKE,您可以一起启用/禁用对Stackdriver Logging API的访问,并滴入节点池实例。有效的方法就是简单地使“流畅”的pod使用节点的服务帐户将日志发送到stackdriver API。
根据将日志从Stackdriver发送到Bigquery的过程,大约需要一个接收器[2]。接收器将创建一个称为唯一作者身份的新服务帐户,并且您的导出目标(BigQuery)必须允许该服务帐户写入日志条目,如[3]所述
[1] https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances?hl=en_US&_ga=2.210364631.-390700867.1538154355 [2] https://cloud.google.com/logging/docs/export/configure_export_v2 [3] https://cloud.google.com/logging/docs/export/configure_export_v2#dest-auth