Cette rubrique décrit la journalisation d'audit dans Tanzu Kubernetes Grid 2.2.
Dans Tanzu Kubernetes Grid, vous pouvez accéder aux journaux d’audit suivants :
auditd
. Reportez-vous à la section Journaux d'audit système pour les nœuds ci-dessous.Les journaux d'audit Kubernetes enregistrent les demandes au serveur d'API Kubernetes.
Les journaux d'audit sont activés par défaut pour le superviseur et les clusters de charge de travail qu'il déploie.
Pour activer l'audit Kubernetes sur un cluster de gestion autonome ou un cluster de charge de travail qu'il déploie, définissez la variable ENABLE_AUDIT_LOGGING
sur true
avant de déployer le cluster.
ImportantL'activation des audits Kubernetes peut entraîner des volumes de journaux très élevés. Pour gérer cette quantité, VMware recommande d'utiliser un redirecteur de journaux, tel que Fluent Bit. Pour obtenir des instructions, reportez-vous à la section Installer Fluent Bit pour le transfert de journaux.
Vous pouvez contrôler ce que les journaux d'audit incluent en transmettant les fichiers de stratégie d'audit à kube-apiserver
, comme expliqué ci-dessous.
Par défaut, les entrées de journal d’audit d’un cluster sont écrites à l’emplacement suivant sur ses nœuds de plan de contrôle :
/var/log/kubernetes/audit.log
/var/log/vmware/audit/kube-apiserver.log
/var/log/kubernetes/kube-apiserver.log
Vous pouvez personnaliser ces emplacements en définissant --audit-log-path
dans la configuration du journal d'audit.
Si vous déployez Fluent Bit sur le cluster, il transférera les journaux vers votre destination de journal.
Pour exercer un contrôle précis sur les éléments journalisés, vous pouvez créer des fichiers de stratégie d'audit et les transmettre à kube-apiserver avec l'indicateur --audit-policy-file
.
Vous pouvez consulter la configuration des journaux d'audit d'un cluster, y compris la localisation de ceux-ci, aux emplacements suivants :
Cluster de gestion autonome et ses clusters de charge de travail :
/etc/kubernetes/audit-policy.yaml
sur des nœuds de plan de contrôle~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
sur votre machine de démarrageSuperviseur et ses clusters de charge de travail : Les paramètres du serveur d'API Kube dans /etc/kubernetes/manifest/kube-apiserver.yaml
sur les nœuds du plan de contrôle. Par exemple :
Superviseur (Supervisor) :
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
- --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
Cluster de charge de travail :
- kube-apiserver
[...]
- --audit-log-maxage=30
- --audit-log-maxbackup=10
- --audit-log-maxsize=100
- --audit-log-path=/var/log/kubernetes/kube-apiserver.log
- --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
Lorsque vous déployez un cluster de gestion ou de charge de travail autonome, auditd
est activé sur le cluster par défaut. Vous pouvez accéder à vos journaux d'audit système sur chaque nœud du cluster en accédant à /var/log/audit/audit.log
.
Si vous déployez Fluent Bit sur le cluster, il transférera ces journaux d'audit vers votre destination de journal. Pour obtenir des instructions, reportez-vous à la section Installer Fluent Bit pour le transfert de journaux.