This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

 

Überwachungsprotokollierung

In diesem Thema wird die Überwachungsprotokollierung in Tanzu Kubernetes Grid (TKG) beschrieben.

Überblick

In Tanzu Kubernetes Grid können Sie auf die folgenden Überwachungsprotokolle zugreifen:

Kubernetes-Überwachungsprotokolle

In Kubernetes-Überwachungsprotokollen werden Anforderungen an den Kubernetes-API-Server aufgezeichnet.

Überwachungsprotokolle sind standardmäßig für den Supervisor und die von ihm bereitgestellten Arbeitslastcluster aktiviert.

Zur Aktivierung der Kubernetes-Überwachung in einem eigenständigen Verwaltungscluster oder einem von diesem bereitgestellten Arbeitslastcluster legen Sie die Variable ENABLE_AUDIT_LOGGING auf true fest, bevor Sie den Cluster bereitstellen.

Wichtig

Die Aktivierung der Kubernetes-Überwachung kann zu sehr hohen Protokollvolumen führen. Um diese Menge zu bewältigen, empfiehlt VMware die Verwendung eines Protokoll-Forwarders wie Fluent Bit. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.

Sie können den Inhalt der Überwachungsprotokolle steuern, indem Sie Überwachungsrichtliniendateien an kube-apiserver übergeben, wie unten erläutert.

Speicherort des Kubernetes-Überwachungsprotokolls

Standardmäßig werden Überwachungsprotokolleinträge für einen Cluster in den folgenden Speicherort auf den zugehörigen Steuerungsebenenknoten geschrieben:

  • Eigenständiger Verwaltungscluster und seine Arbeitslastcluster: /var/log/kubernetes/audit.log
  • Supervisor: /var/log/vmware/audit/kube-apiserver.log
  • Von Supervisor bereitgestellte Arbeitslastcluster: /var/log/kubernetes/kube-apiserver.log

Sie können diese Speicherorte anpassen, indem Sie --audit-log-path in der Konfiguration des Überwachungsprotokolls festlegen.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden die Protokolle an das Protokollziel weitergeleitet.

Kubernetes-Überwachungsprotokollrichtlinie und -konfiguration

Wenn Sie eine differenzierte Steuerung der protokollierten Daten wünschen, können Sie Überwachungsrichtliniendateien erstellen und mit dem Flag --audit-policy-file an „kube-apiserver“ übergeben.

Die Konfiguration des Überwachungsprotokolls für einen Cluster, einschließlich des Speicherorts des Überwachungsprotokolls, finden Sie an den folgenden Speicherorten:

  • Eigenständiger Verwaltungscluster und seine Arbeitslastcluster:

    • /etc/kubernetes/audit-policy.yaml auf Knoten der Steuerungsebene
    • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml auf Ihrer Bootstrap-Maschine

  • Supervisor und seine Arbeitslastcluster: Kube-API-Servereinstellungen in /etc/kubernetes/manifest/kube-apiserver.yaml auf Knoten der Steuerungsebene. Beispiel:

    • Supervisor:

        - kube-apiserver
[...]
  - --audit-log-maxage=30
  - --audit-log-maxbackup=10
  - --audit-log-maxsize=100
  - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
  - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml

    • Arbeitslastcluster:

        - kube-apiserver
[...]
  - --audit-log-maxage=30
  - --audit-log-maxbackup=10
  - --audit-log-maxsize=100
  - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
  - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml

Systemauditprotokolle für Knoten

Wenn Sie einen eigenständigen Verwaltungs- oder Arbeitslastcluster bereitstellen, ist auditd für den Cluster standardmäßig aktiviert. Sie können auf jedem Knoten im Cluster auf Ihre Systemauditprotokolle zugreifen, indem Sie zu /var/log/audit/audit.log navigieren.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden diese Überwachungsprotokolle an das Protokollziel weitergeleitet. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.

check-circle-line exclamation-circle-line close-line
Scroll to top icon