Registrazione di controllo

In questo argomento viene descritta la registrazione di controllo in Tanzu Kubernetes Grid 2.1.

Panoramica

In Tanzu Kubernetes Grid è possibile accedere ai seguenti registri di controllo:

Registri di controllo di Kubernetes

I registri di controllo Kubernetes registrano le richieste al server dell'API di Kubernetes.

I registri di controllo sono abilitati per impostazione predefinita per il supervisore e i cluster del carico di lavoro che distribuisce.

Per abilitare il controllo di Kubernetes in un cluster di gestione autonomo o un cluster del carico di lavoro che tale cluster di gestione distribuisce, impostare la variabile ENABLE_AUDIT_LOGGING su true prima di distribuire il cluster.

Importante

L'abilitazione del controllo Kubernetes può causare volumi di registri molto elevati. Per gestire questa quantità, VMware consiglia di utilizzare un server di inoltro dei registri come Fluent Bit. Per istruzioni vedere Installazione di Fluent Bit per l'inoltro dei registri.

È possibile controllare ciò che i registri di controllo includono passando i file dei criteri di controllo a kube-apiserver, come illustrato di seguito.

Posizione del registro di controllo di Kubernetes

Per impostazione predefinita le voci del registro di controllo per un cluster vengono scritte nella posizione seguente dei nodi del piano di controllo:

  • Cluster di gestione autonomo e relativi cluster del carico di lavoro: /var/log/kubernetes/audit.log
  • Supervisore: /var/log/vmware/audit/kube-apiserver.log
  • Cluster del carico di lavoro distribuiti dal supervisore: /var/log/kubernetes/kube-apiserver.log

È possibile personalizzare queste posizioni impostando --audit-log-path nella configurazione del registro di controllo.

Se si distribuisce Fluent Bit nel cluster, i registri verranno inoltrati alla destinazione dei registri.

Criterio e configurazione del registro di controllo di Kubernetes

Per esercitare un controllo granulare su ciò che viene registrato, è possibile creare file dei criteri di controllo e passarli a kube-apiserver con il flag --audit-policy-file.

Per visualizzare la configurazione del registro di controllo per un cluster, inclusa la posizione del registro di controllo, nelle posizioni seguenti:

  • Cluster di gestione autonomo e relativi cluster del carico di lavoro:

    • /etc/kubernetes/audit-policy.yaml nei nodi del piano di controllo
    • ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml nella macchina di bootstrap
  • Supervisore e relativi cluster del carico di lavoro: Impostazioni del server dell'API Kube in /etc/kubernetes/manifest/kube-apiserver.yaml nei nodi del piano di controllo. Ad esempio:

    • Supervisore:

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
        - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
      
    • Cluster del carico di lavoro:

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
        - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
      

Registri di controllo del sistema per i nodi

Quando si distribuisce un cluster di gestione autonomo o un cluster del carico di lavoro, l'opzione auditd è abilitata nel cluster per impostazione predefinita. È possibile accedere ai registri di controllo del sistema in ogni nodo del cluster andando in /var/log/audit/audit.log.

Se si distribuisce Fluent Bit nel cluster, questi registri di controllo verranno inoltrati alla destinazione del registro. Per istruzioni vedere Installazione di Fluent Bit per l'inoltro dei registri.

check-circle-line exclamation-circle-line close-line
Scroll to top icon