首页
视频
资源
登录
原
Kubernetes Auditing 审计日志
6196
人阅读
2022/6/24 20:24
总访问:
2604123
评论:
0
收藏:
0
手机
分类:
容器编排
![Kubernetes](https://img.tnblog.net/arcimg/hb/274ef6f115de4c9b8e40ded5deb2f4c2.jpg "Kubernetes") >#Kubernetes Auditing 审计日志 [TOC] tn2>Kubernetes 审计日志提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。 Auditing 解决了那些问题? ------------ >- 发生了什么? - 什么时候发生的? - 谁触发的? - 活动发生在哪个(些)对象上? - 在哪观察到的? - 它从哪触发的? - 活动的后续处理行为是什么? Auditing 的来龙去脉? ------------ tn2>审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;这些审计事件会根据特定策略 被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。 当前的后端支持日志文件和 webhook。 Auditing 阶段 ------------ | 阶段 | 描述 | | ------------ | ------------ | | `RequestReceived` | 此阶段对应审计处理器接收到请求后,并且在委托给其余处理器之前生成的事件。 | | `ResponseStarted` | 在响应消息的头部发送后,响应消息体发送前生成的事件。 只有长时间运行的请求(例如 watch)才会生成这个阶段。 | | `ResponseComplete` | 当响应消息体完成并且没有更多数据需要传输的时候。 | | `Panic` | 当 panic 发生时生成。 | 审计策略 ------------ tn2>已定义的审计级别有: | 审计日志 | 描述 | | ------------ | ------------ | | `None` | 符合这条规则的日志将不会记录。 | | `Metadata` | 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体。 | | `Request` | 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求。 | | `RequestResponse` | 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求。 | tn2>下面是一个简单的Demo,定义在我们的`/etc/kubernetes/audit-policy/policy.yaml`文件下。 ```yaml apiVersion: audit.k8s.io/v1 kind: Policy rules: # 设置机密资源的审计日志级别为Metadata - level: Metadata resources: - group: "" resources: ["secrets"] # 设置节点的审计日志级别为RequestResponse - level: RequestResponse userGroups: ["system:nodes"] # 对于其他内容,不要记录任何内容 - level: None ``` tn2>你可以使用 `--audit-policy-file` 标志将包含策略的文件传递给 `kube-apiserver.yaml`。 如果不设置该标志,则不记录事件。 tn>注意 rules 字段必须在审计策略文件中提供。没有(0)规则的策略将被视为非法配置。 tn2>当然我们也可以使用最低限度的审计策略文件在 `Metadata` 级别记录所有请求: ```yaml # 在 Metadata 级别为所有请求生成日志 apiVersion: audit.k8s.io/v1beta1 kind: Policy rules: - level: Metadata ``` tn2>更多Policy配置请参考:https://kubernetes.io/zh-cn/docs/reference/config-api/apiserver-audit.v1/#audit-k8s-io-v1-Policy 添加审计日志 ------------ tn2>通过对 `kube-apiserver.yaml`的配置开启后端审计日志。 | 标志配置 | 描述 | | ------------ | ------------ | | `--audit-log-path` | 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。 | | `--audit-log-maxage` | 定义保留旧审计日志文件的最大天数。 | | `--audit-log-maxbackup` | 定义要保留的审计日志文件的最大数量。 | | `--audit-log-maxsize` | 定义审计日志文件的最大大小(兆字节) | | `--audit-policy-file` | 定义审计日志文件的策略。 | tn2>这里我们设置审计日志文件的策略`/etc/kubernetes/audit-policy/policy.yaml`,将审计日志写入`/etc/kubernetes/audit-logs/audit.log`当中(注意路径需要创建`mkdir /etc/kubernetes/audit-logs/`),设置最大保留2个审记日志,每个最多7兆。 ```bash spec: containers: - command: - kube-apiserver - --audit-policy-file=/etc/kubernetes/audit-policy/policy.yaml - --audit-log-path=/etc/kubernetes/audit-logs/audit.log - --audit-log-maxsize=7 - --audit-log-maxbackup=2 ``` tn2>注意组要挂载相关卷。 ```bash volumeMounts: - mountPath: /etc/kubernetes/audit-policy/policy.yaml name: audit-policy readOnly: true - mountPath: /etc/kubernetes/audit-logs name: audit-logs readOnly: false ``` ```bash volumes: - name: audit-policy hostPath: path: /etc/kubernetes/audit-policy/policy.yaml type: File - name: audit-logs hostPath: path: /etc/kubernetes/audit-logs type: DirectoryOrCreate ``` ![](https://img.tnblog.net/arcimg/hb/3693fffc45dd4d27ba2daff376d8973d.png) ![](https://img.tnblog.net/arcimg/hb/f5f67c317cb34c929abf9a48c8d0b59a.png) tn>由于是kube-apiserver是静态pod,所以稍微等待就可以了。(为了保险起见也可以重启kubelet) ```bash systemctl daemon-reload systemctl restart kubelet ``` tn2>更多请参考:https://kubernetes.io/zh-cn/docs/tasks/debug/debug-cluster/audit/
欢迎加群讨论技术,1群:677373950(满了,可以加,但通过不了),2群:656732739
👈{{preArticle.title}}
👉{{nextArticle.title}}
评价
{{titleitem}}
{{titleitem}}
{{item.content}}
{{titleitem}}
{{titleitem}}
{{item.content}}
尘叶心繁
这一世以无限游戏为使命!
博主信息
排名
6
文章
6
粉丝
16
评论
8
文章类别
.net后台框架
168篇
linux
17篇
linux中cve
1篇
windows中cve
0篇
资源分享
10篇
Win32
3篇
前端
28篇
传说中的c
4篇
Xamarin
9篇
docker
15篇
容器编排
101篇
grpc
4篇
Go
15篇
yaml模板
1篇
理论
2篇
更多
Sqlserver
4篇
云产品
39篇
git
3篇
Unity
1篇
考证
2篇
RabbitMq
23篇
Harbor
1篇
Ansible
8篇
Jenkins
17篇
Vue
1篇
Ids4
18篇
istio
1篇
架构
2篇
网络
7篇
windbg
4篇
AI
18篇
threejs
2篇
人物
1篇
嵌入式
2篇
python
13篇
HuggingFace
8篇
pytorch
9篇
opencv
6篇
最新文章
最新评价
{{item.articleTitle}}
{{item.blogName}}
:
{{item.content}}
关于我们
ICP备案 :
渝ICP备18016597号-1
网站信息:
2018-2024
TNBLOG.NET
技术交流:
群号656732739
联系我们:
contact@tnblog.net
欢迎加群
欢迎加群交流技术