稽核記錄

本主題說明 Tanzu Kubernetes Grid 2.1 中的稽核記錄。

概觀

在 Tanzu Kubernetes Grid 中,您可以存取以下稽核記錄:

Kubernetes 稽核記錄

Kubernetes 稽核記錄會記錄對 Kubernetes API 伺服器的要求。

依預設對主管及其部署的工作負載叢集啟用稽核記錄。

若要在獨立管理叢集或其部署的工作負載叢集上啟用 Kubernetes 稽核,請在部署叢集之前,將 ENABLE_AUDIT_LOGGING 變數設定為 true

重要

啟用 Kubernetes 稽核可能會導致記錄量非常高。要處理此數量,VMware 建議使用記錄轉送器,例如 Fluent Bit。如需相關指示,請參閱安裝 Fluent Bit 以用於記錄轉送

您可以透過將稽核原則檔案傳遞到 kube-apiserver 來控制稽核記錄的內容,如所述。

Kubernetes 稽核記錄位置

依預設,叢集的稽核記錄項目會寫入至其控制平面節點上的下列位置:

  • 獨立管理叢集及其工作負載叢集/var/log/kubernetes/audit.log
  • 主管/var/log/vmware/audit/kube-apiserver.log
  • 主管所部署的工作負載叢集/var/log/kubernetes/kube-apiserver.log

您可以在稽核記錄組態中設定 --audit-log-path,來自訂這些位置。

如果在叢集上部署 Fluent Bit,則會將記錄轉送到記錄目的地。

Kubernetes 稽核記錄原則和組態

要對記錄的內容進行精細控制,可以建立稽核原則檔案,並使用 --audit-policy-file 標記將其傳遞到 kube-api 伺服器。

如要在以下位置查看叢集的稽核記錄組態 (包括稽核記錄位置):

  • 獨立管理叢集及其工作負載叢集

    • 控制平面節點上的 /etc/kubernetes/audit-policy.yaml
    • 啟動機器上的 ~/.config/tanzu/tkg/providers/ytt/03_customizations/audit-logging/audit_logging.yaml
  • 主管及其工作負載叢集:控制平面節點上 /etc/kubernetes/manifest/kube-apiserver.yaml 中的 Kube API 伺服器設定。例如:

    • 主管

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/vmware/audit/kube-apiserver.log
        - --audit-policy-file=/etc/vmware/wcp/audit-policy.yaml
      
    • 工作負載叢集

        - kube-apiserver
      [...]
        - --audit-log-maxage=30
        - --audit-log-maxbackup=10
        - --audit-log-maxsize=100
        - --audit-log-path=/var/log/kubernetes/kube-apiserver.log
        - --audit-policy-file=/etc/kubernetes/extra-config/audit-policy.yaml
      

節點的系統稽核記錄

部署獨立管理叢集或工作負載叢集時,依預設,會在叢集上啟用 auditd。您可以導覽至 /var/log/audit/audit.log,以存取叢集中每個節點上的系統稽核記錄。

如果在叢集上部署 Fluent Bit,則會將這些稽核記錄轉送到記錄目的地。如需相關指示,請參閱安裝 Fluent Bit 以用於記錄轉送

check-circle-line exclamation-circle-line close-line
Scroll to top icon