Untuk mengaudit dan memantau operasi pada sumber daya Service Mesh (ASM), Anda dapat mengaktifkan fitur audit untuk instance ASM dan mengonfigurasi alert di Simple Log Service. Ini memungkinkan pengiriman alert secara tepat waktu ketika terjadi perubahan pada sumber daya penting seperti layanan virtual dan aturan tujuan. Hal ini membantu memastikan keamanan dan kepatuhan ASM. Topik ini menjelaskan cara mengonfigurasi aturan alert untuk penghapusan layanan virtual dan memverifikasi konfigurasi. Secara spesifik, pesan teks akan dikirim kepada kontak alert ketika layanan virtual dihapus.
Prasyarat
Simple Log Service telah diaktifkan. Untuk informasi lebih lanjut tentang penagihan Simple Log Service, lihat Ikhtisar Penagihan.
Langkah 1: Aktifkan audit untuk instance ASM
Setelah mengaktifkan audit untuk instance ASM, log operasi Kubernetes API dari instance ASM akan dikumpulkan ke Simple Log Service sebagai sumber data untuk konfigurasi alert berikutnya.
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
Di halaman Mesh Management, klik nama instance ASM. Di panel navigasi kiri, pilih .
Di halaman yang muncul, pilih Enable Mesh Audit dan klik OK.
Jika halaman seperti gambar berikut ditampilkan, audit mesh berhasil diaktifkan.
Langkah 2: Tambahkan penerima alert
Dalam contoh ini, alert yang dihasilkan akan dikirim ke grup pengguna bawaan ASM di Simple Log Service. Oleh karena itu, Anda harus menambahkan pengguna uji yang dapat menerima notifikasi ke grup pengguna tersebut.
Pastikan bahwa nomor telepon seluler telah ditambahkan ke pengguna uji dan nomor telepon tersebut dapat menerima pesan teks. Untuk informasi lebih lanjut, lihat Buat Pengguna.
Tambahkan pengguna uji ke grup pengguna.
Masuk ke Konsol Simple Log Service.
Di bagian Projects, klik nama proyek yang diinginkan. Di panel navigasi kiri, klik Alerts.
Jika Anda perlu membuat proyek baru (Anda tidak memilih proyek yang ada saat membuat instance ASM atau mengaktifkan fitur audit), nama proyek dalam format
mesh-log-<Mesh ID>.Jika proyek yang ada digunakan, klik nama proyek tersebut.
Di halaman Alert Center, pilih .
Di tab User Group Management, temukan sls.app.asm.builtin dan klik Edit di kolom Actions.
Di kotak dialog Edit User Group, tambahkan pengguna uji dan klik OK.
Langkah 3: Konfigurasikan aturan alert audit
Konfigurasikan notifikasi alert melalui pesan teks untuk penghapusan layanan virtual.
Masuk ke Konsol Simple Log Service.
Di bagian Projects, klik nama proyek yang diinginkan. Di panel navigasi kiri, klik Alerts.
Di tab Alert Rule halaman Alert Center, klik Create Alert.
Di panel Create Alert, konfigurasikan parameter dan klik OK.
Tabel berikut menjelaskan beberapa parameter. Untuk informasi lebih lanjut tentang parameter, lihat Buat Aturan Alert.
Parameter
Deskripsi
Rule Name
Untuk contoh ini, atur nilai menjadi DeleteVirtualService.
Check Frequency
Untuk memverifikasi dengan cepat apakah konfigurasi dalam contoh ini berfungsi, atur nilainya menjadi 1 menit untuk contoh ini.
Query Statistics
Klik Create. Di kotak dialog Query Statistics, klik tab Advanced Settings dan pilih Logstore yang namanya dimulai dengan audit.
Atur Time Range menjadi 1 Menit(Relatif), yang sama dengan nilai Check Frequency. Ini mencegah alert berulang dan alert yang terlewat.
Di bidang Query, masukkan
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: virtualservices and objectRef.apiGroup: "networking.istio.io" and ( verb: delete ). Lalu, klik Preview. Setelah Anda mengonfirmasi informasi, klik Confirm.
Trigger Condition
Untuk contoh ini, atur Saat menjadi Data dikembalikan dan atur Tingkat Keparahan menjadi Tinggi. Dengan cara ini, alert dipicu ketika data dikembalikan, dan tingkat keparahan adalah tinggi.
Add Annotation
Anda dapat memodifikasi bidang title dan desc berdasarkan kebutuhan bisnis Anda untuk menyesuaikan judul dan isi alert. Untuk informasi lebih lanjut, lihat Variabel dalam template alert (versi baru).
Destination
Pilih Simple Log Service Notification, aktifkan saklar Enable, lalu atur Action Policy menjadi sls.app.asm.builtin.
Langkah 4: Verifikasi aturan alert audit
Hapus layanan virtual untuk memverifikasi aturan alert audit yang dikonfigurasi di Langkah 3.
Buat layanan virtual dan kemudian hapus.
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
Di halaman Mesh Management, klik nama instance ASM. Di panel navigasi kiri, pilih . Di halaman yang muncul, klik Create from YAML.
Di halaman Create, pilih default dari daftar drop-down Namespace, pilih HTTP basic routing dari daftar drop-down Template, lalu klik Create.
Di halaman VirtualService, temukan layanan virtual reviews-route yang Anda buat dan klik Delete di kolom Actions. Di pesan Submit, klik OK.
Periksa apakah alert audit dihasilkan.
Masuk ke Konsol Simple Log Service.
Di bagian Projects, klik nama proyek yang diinginkan. Di panel navigasi kiri, pilih .
Di daftar Dashboard, klik Alert History Statistics untuk melihat catatan eksekusi setiap alert dan apakah alert dihasilkan.
Setelah Anda menghapus layanan virtual di sublangkah 1, sebuah alert dihasilkan di bagian Alert History.
Di panel navigasi kiri, klik Log Storage. Di halaman yang muncul, cari dan klik Logstore internal-alert-history. Lalu, klik Search & Analyze di panel kanan.
Anda dapat melihat log alert yang AlertDisplayName-nya adalah DeleteVirtualService. Bidang Fired dari log adalah true.
Periksa apakah nomor telepon yang terhubung ke pengguna uji menerima pesan notifikasi alert.
Informasi terkait
Metode notifikasi alert dari kebijakan aksi ASM bawaan
Tingkat keparahan alert | Metode notifikasi alert |
Kritis | Panggilan suara |
Tinggi | Pesan teks |
Lainnya | Notifikasi email |
Kondisi alert umum
Pernyataan kueri untuk pembuatan alert ketika gateway Istio dibuat, dimodifikasi, atau dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: istiogateways and objectRef.apiGroup: "istio.alibabacloud.com" and ( verb: create or verb: delete or verb: update )Pernyataan kueri untuk pembuatan alert ketika gateway dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: gateways and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika kredensial ASM dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: asmcredentials and objectRef.apiGroup: "istio.alibabacloud.com" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika layanan virtual dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: virtualservices and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika aturan tujuan dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: destinationrules and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika sumber daya Telemetri dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: telemetries and objectRef.apiGroup: "telemetry.istio.io" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika kebijakan otorisasi dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: authorizationpolicies and objectRef.apiGroup: "security.istio.io" and ( verb: delete )Pernyataan kueri untuk pembuatan alert ketika Filter Envoy dihapus:
(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: envoyfilters and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )
Referensi
Untuk informasi lebih lanjut tentang cara memberikan izin hanya-baca dan manajemen alert kepada pengguna RAM, lihat Berikan Pengguna RAM Izin untuk Mengelola Alert.
Anda dapat mengonfigurasi kemampuan keamanan percaya nol seperti identitas beban kerja, otentikasi peer, otentikasi permintaan, dan kebijakan otorisasi di ASM untuk mengelola sumber daya mesh secara lebih rinci dan meningkatkan keamanan mesh. Untuk informasi lebih lanjut, lihat Ikhtisar Keamanan Percaya Nol.