#logging #microservices #azure-aks #azure-monitoring
#ведение журнала #микросервисы #azure-aks #azure-мониторинг
Вопрос:
У меня есть приложение с примерно 50 микросервисами в Azure, использующее AKS. Я хочу регистрировать все действия, которые пользователи выполняют во всех методах POST / PUT / DELETE. Нужно ли мне добавлять код ко всем моим операциям, чтобы иметь такую историю аудита? Или есть служба Azure, которую мы можем использовать?
Меня интересуют не безопасность или технические журналы, а то, кто что сделал.
Ответ №1:
Вы можете рассмотреть продукт Application Insights, доступный в Azure. Он поддерживает различные типы приложений, и для некоторых вам не нужно много делать, если вообще нужно, чтобы получить данные о задержках, сбоях и многом другом.
Вы случайно используете какой-либо сетчатый продукт в своем кластере? Скажите, Istio?
Комментарии:
1. Спасибо, но я не хочу проверять приложение. Я хочу знать, кто, например, удалил элемент, нажав на кнопку. Чистый журнал аудита.
2. К сожалению, это гораздо проще сказать, чем сделать. Тот факт, что запрос на удаление был обработан, должен быть перехвачен. Это можно сделать без особых проблем с помощью нескольких решений для мониторинга приложений, таких как AppInsights, NewRelic, AppDynamics и др. Есть и другие более легкие альтернативы… Но вам нужно каким-то образом перехватить запрос. Вы также можете использовать различные сетчатые решения, такие как Istio и плагины, для создания журнала аудита.
3. Другая часть (отслеживание «кто это сделал») сложна. Службы обычно используют аутентификацию «доверенной стороны» и т. Д. И Редко передают фактическое имя пользователя в полезной нагрузке — поэтому вы обычно видите, что служба ABC называется service XYZ и запрашивает УДАЛЕНИЕ для определенного объекта. Вы не будете знать исходного пользователя. Распределенная трассировка может помочь вам получить эту информацию, и, опять же, вам понадобится продукт мониторинга приложений, чтобы сделать это за вас. Application Insights может это сделать. Вам не обязательно настраивать свои службы и повторно развертывать, если вы используете кластер K8s с технологией Mesh, поэтому я спросил, делаете ли вы это…