Überwachungsprotokollierung

In diesem Thema wird die Überwachungsprotokollierung in Tanzu Kubernetes Grid (TKG) beschrieben.

Überblick

In Tanzu Kubernetes Grid können Sie auf die folgenden Überwachungsprotokolle zugreifen:

Kubernetes-Überwachungsprotokolle

In Kubernetes-Überwachungsprotokollen werden Anforderungen an den Kubernetes-API-Server aufgezeichnet.

Überwachungsprotokolle sind standardmäßig für den Supervisor und die von ihm bereitgestellten Arbeitslastcluster aktiviert.

Zur Aktivierung der Kubernetes-Überwachung in einem eigenständigen Verwaltungscluster oder einem von diesem bereitgestellten Arbeitslastcluster legen Sie die Variable ENABLE_AUDIT_LOGGING auf true fest, bevor Sie den Cluster bereitstellen.

Wichtig

Die Aktivierung der Kubernetes-Überwachung kann zu sehr hohen Protokollvolumen führen. Um diese Menge zu bewältigen, empfiehlt VMware die Verwendung eines Protokoll-Forwarders wie Fluent Bit. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.

Sie können den Inhalt der Überwachungsprotokolle steuern, indem Sie Überwachungsrichtliniendateien an kube-apiserver übergeben, wie unten erläutert.

Speicherort des Kubernetes-Überwachungsprotokolls

Standardmäßig werden Überwachungsprotokolleinträge für einen Cluster in den folgenden Speicherort auf den zugehörigen Steuerungsebenenknoten geschrieben:

  • Eigenständiger Verwaltungscluster und seine Arbeitslastcluster: /var/log/kubernetes/audit.log
  • Supervisor: /var/log/vmware/audit/kube-apiserver.log
  • Von Supervisor bereitgestellte Arbeitslastcluster: /var/log/kubernetes/kube-apiserver.log

Sie können diese Speicherorte anpassen, indem Sie --audit-log-path in der Konfiguration des Überwachungsprotokolls festlegen.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden die Protokolle an das Protokollziel weitergeleitet.

Kubernetes-Überwachungsprotokollrichtlinie und -konfiguration

Wenn Sie eine differenzierte Steuerung der protokollierten Daten wünschen, können Sie Überwachungsrichtliniendateien erstellen und mit dem Flag --audit-policy-file an „kube-apiserver“ übergeben.

Die Konfiguration des Überwachungsprotokolls für einen Cluster, einschließlich des Speicherorts des Überwachungsprotokolls, finden Sie an den folgenden Speicherorten:

  • Eigenständiger Verwaltungscluster und seine Arbeitslastcluster:

    • /etc/kubernetes/audit-policy.yaml auf Knoten der Steuerungsebene
    • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml auf Ihrer Bootstrap-Maschine
  • Supervisor und seine Arbeitslastcluster: Kube-API-Servereinstellungen in /etc/kubernetes/manifest/kube-apiserver.yaml auf Knoten der Steuerungsebene. Beispiel:

    • Supervisor:

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
        - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
      
    • Arbeitslastcluster:

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
        - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
      

Systemauditprotokolle für Knoten

Wenn Sie einen eigenständigen Verwaltungs- oder Arbeitslastcluster bereitstellen, ist auditd für den Cluster standardmäßig aktiviert. Sie können auf jedem Knoten im Cluster auf Ihre Systemauditprotokolle zugreifen, indem Sie zu /var/log/audit/audit.log navigieren.

Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden diese Überwachungsprotokolle an das Protokollziel weitergeleitet. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.

check-circle-line exclamation-circle-line close-line
Scroll to top icon