Centraliser les logs de plusieurs projets sur Google Cloud Platform

Vue d'ensemble de l'architecture de démonstration

Pour cet exemple, je vais créer deux projets de test et configurer leurs logs pour qu'ils soient envoyés vers un projet central. En bonus, je montrerai aussi comment centraliser le monitoring et les métriques (un autre cas d'usage fréquent).

1. Créez trois projets de test sur GCP : mike-test-log-view, mike-test-log-a et mike-test-log-b
2. Créez un logs bucket dans le projet mike-test-log-view et copiez son chemin d'accès
3. Créez un log sink de type Cloud Logging bucket, pointant vers le chemin copié à l'étape 2, pour les projets mike-test-log-a et mike-test-log-b
4. Affichez les détails de chaque log sink et copiez l'adresse e-mail du Service Account writer entity (générée dynamiquement pour chacun)
5. Modifiez les rôles IAM du projet mike-test-log-view et ajoutez chaque Service Account copié depuis les log sinks, en lui attribuant le rôle Logs Bucket Writer
6. Modifiez les rôles IAM du projet mike-test-log-view et ajoutez le rôle Logs View Accessor avec une condition pointant vers le chemin de votre logs bucket (afin de restreindre l'accès par utilisateur)
7. Ouvrez la page Logs Explorer, cliquez sur Refine Scope en haut, sélectionnez Scope by storage puis votre logs bucket

Les étapes suivantes montrent comment acheminer les logs de plusieurs projets Google Cloud Platform vers un projet centralisé unique.

Étape 1 : créer les projets de test

Cette étape se passe d'explication. J'ai créé trois projets comme décrit ci-dessus à des fins de démonstration.

Étape 2 : créer le logs bucket dans le projet de visualisation

Rendez-vous sur Logs Storage, cliquez sur Create Logs Bucket, puis copiez le chemin d'accès au bucket

Étape 3 : créer les log sinks dans les projets de test

Créez les log sinks dans les projets de test a et b respectivement.

Définissez la destination du sink sur Cloud Logging Bucket

Sélectionnez l'option Use a logs bucket in another project

Log sink pour le projet de test a, destination complétée par le chemin du logs bucket (après le domaine)

Log sink pour le projet de test b, destination complétée par le chemin du logs bucket (après le domaine)

Étape 4 : afficher les détails des log sinks et noter l'identité IAM writer

Pour chaque projet de test, dans la vue en liste de la page Log Router Sinks, cliquez sur les … (3 points) tout à droite de la ligne correspondant à votre nouveau log sink, puis sélectionnez View Details.

Copiez la Writer identity, qui correspond au service account créé dynamiquement avec le log sink. Vous l'ajouterez au projet de visualisation pour lui permettre d'écrire des entrées de log dans votre logs bucket central.

Étape 5 : modifier les rôles IAM du projet de visualisation pour les writers des log sinks

Pour chaque log sink, dans votre projet de visualisation central, ouvrez la page d'administration IAM et ajoutez un membre avec le rôle Logs Bucket Writer en utilisant le service account Writer identity copié à l'étape 4, comme illustré.

Ajout des rôles IAM autorisant les log sinks à écrire des entrées de log dans le projet de visualisation

Étape 6 : modifier les rôles IAM du projet de visualisation pour les lecteurs de logs (utilisateurs)

Pour que les utilisateurs puissent consulter les logs dans le Logs Explorer, vous devez leur accorder la possibilité de modifier la vue (ou scope) en leur attribuant le rôle Logs View Accessor.

Octroi aux utilisateurs de la possibilité de modifier la vue (scope) du Logs Explorer

Vous pouvez (et devriez) affiner davantage le rôle IAM des utilisateurs en ajoutant une condition qui restreint l'accès aux seules ressources souhaitées. Dans ce cas, il s'agit du chemin vers le logs bucket que vous avez créé. Vous pouvez ainsi limiter la vue des utilisateurs aux seuls logs et buckets voulus, ce qui s'avère utile pour les contrôles de conformité.

Étape 7 : consulter les logs

Une fois les permissions en place, en quelques minutes seulement, vous devriez voir apparaître des entrées de logs dans votre projet de visualisation. Vous devez d'abord cliquer sur Refine Scope et sélectionner la source de logs souhaitée, comme illustré.

Affinage du scope du Logs Explorer pour explorer les logs envoyés au Logs Bucket par les sinks

Félicitations ! Depuis votre projet de visualisation, vous pouvez désormais consulter les logs des autres projets, comme illustré.

Les logs du projet de test a sont visibles dans le projet de visualisation

Vous pouvez désactiver le log sink _Default sur vos projets afin d'éviter de payer la journalisation à plusieurs endroits.

• Arrêter l'ingestion des logs

Vous pouvez également ajouter des filtres d'exclusion (ou d'inclusion) à vos log sinks pour contrôler les services acheminés et ceux qui sont filtrés.

• Gérer les exclusions de logs
• Astuce : le champ rate correspond à un taux d'échantillonnage ; pensez à le passer à 100 (%)

Google Cloud Operations (anciennement Stackdriver) est une plateforme d'observabilité complète qui, en plus de la journalisation, intègre un autre outil appelé Cloud Monitoring.

En quelques clics, vous pouvez créer un Workspace dans votre projet de visualisation, puis sélectionner vos autres projets pour centraliser votre monitoring et vos dashboards si vous le souhaitez.