In diesem Thema wird die Überwachungsprotokollierung in Tanzu Kubernetes Grid (TKG) beschrieben.
In Tanzu Kubernetes Grid können Sie auf die folgenden Überwachungsprotokolle zugreifen:
auditd
erfasst werden. Informationen finden Sie im Folgenden unter Systemauditprotokolle für Knoten.In Kubernetes-Überwachungsprotokollen werden Anforderungen an den Kubernetes-API-Server aufgezeichnet.
Überwachungsprotokolle sind standardmäßig für den Supervisor und die von ihm bereitgestellten Arbeitslastcluster aktiviert.
Zur Aktivierung der Kubernetes-Überwachung in einem eigenständigen Verwaltungscluster oder einem von diesem bereitgestellten Arbeitslastcluster legen Sie die Variable ENABLE_AUDIT_LOGGING
auf true
fest, bevor Sie den Cluster bereitstellen.
WichtigDie Aktivierung der Kubernetes-Überwachung kann zu sehr hohen Protokollvolumen führen. Um diese Menge zu bewältigen, empfiehlt VMware die Verwendung eines Protokoll-Forwarders wie Fluent Bit. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.
Sie können den Inhalt der Überwachungsprotokolle steuern, indem Sie Überwachungsrichtliniendateien an kube-apiserver
übergeben, wie unten erläutert.
Standardmäßig werden Überwachungsprotokolleinträge für einen Cluster in den folgenden Speicherort auf den zugehörigen Steuerungsebenenknoten geschrieben:
/var/log/kubernetes/audit.log
/var/log/vmware/audit/kube-apiserver.log
/var/log/kubernetes/kube-apiserver.log
Sie können diese Speicherorte anpassen, indem Sie --audit-log-path
in der Konfiguration des Überwachungsprotokolls festlegen.
Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden die Protokolle an das Protokollziel weitergeleitet.
Wenn Sie eine differenzierte Steuerung der protokollierten Daten wünschen, können Sie Überwachungsrichtliniendateien erstellen und mit dem Flag --audit-policy-file
an „kube-apiserver“ übergeben.
Die Konfiguration des Überwachungsprotokolls für einen Cluster, einschließlich des Speicherorts des Überwachungsprotokolls, finden Sie an den folgenden Speicherorten:
Eigenständiger Verwaltungscluster und seine Arbeitslastcluster:
/etc/kubernetes/audit-policy.yaml
auf Knoten der Steuerungsebene~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
auf Ihrer Bootstrap-MaschineSupervisor und seine Arbeitslastcluster: Kube-API-Servereinstellungen in /etc/kubernetes/manifest/kube-apiserver.yaml
auf Knoten der Steuerungsebene. Beispiel:
Supervisor:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
- --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
Arbeitslastcluster:
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/kubernetes/kube-apiserver.log
- --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
Wenn Sie einen eigenständigen Verwaltungs- oder Arbeitslastcluster bereitstellen, ist auditd
für den Cluster standardmäßig aktiviert. Sie können auf jedem Knoten im Cluster auf Ihre Systemauditprotokolle zugreifen, indem Sie zu /var/log/audit/audit.log
navigieren.
Wenn Sie Fluent Bit auf dem Cluster bereitstellen, werden diese Überwachungsprotokolle an das Protokollziel weitergeleitet. Anweisungen finden Sie unter Installieren von Fluent Bit für die Protokollweiterleitung.