Kubernetes(k8s)手册
Kubernetes(k8s)手册
  1. Kubernetes 入门
    1. Kubernetes 生产环境
      1. Kubernetes 容器运行时
      2. Kubernetes 使用部署工具安装Kubernetes
        1. Kubernetes 使用kubeadm引导集群
          1. Kubernetes 安装kubeadm
          2. Kubernetes 对kubeadm进行故障排查
          3. Kubernetes 使用kubeadm创建集群
          4. Kubernetes 使用kubeadm API定制组件
          5. Kubernetes 高可用拓扑选项
          6. Kubernetes 利用kubeadm创建高可用集群
          7. Kubernetes 使用kubeadm创建一个高可用etcd集群
          8. Kubernetes 使用kubeadm配置集群中的每个kubelet
          9. Kubernetes 使用kubeadm支持双协议栈
        2. Kubernetes 使用Kops安装Kubernetes
        3. Kubernetes 使用Kubespray安装Kubernetes
      3. Kubernetes Windows Kubernetes
        1. Kubernetes 对Windows的支持
        2. Kubernetes Windows容器的调度指南
    2. Kubernetes 最佳实践
      1. Kubernetes 运行于多可用区环境
      2. Kubernetes 大规模集群的注意事项
      3. Kubernetes 校验节点设置
      4. Kubernetes PKI证书和要求
      5. Kubernetes 强制实施Pod安全性标准
  2. Kubernetes 概述
    1. Kubernetes 简介
    2. Kubernetes 组件
    3. Kubernetes API
  3. Kubernetes 安装
    1. Kubernetes Linux安装
    2. Kubernetes macOS安装
    3. Kubernetes Windows安装
  4. Kubernetes 对象
    1. Kubernetes 对象简介
    2. Kubernetes 对象管理
    3. Kubernetes 对象名称和IDs
    4. Kubernetes 名字空间
    5. Kubernetes 标签和选择算符
    6. Kubernetes 注解
    7. Kubernetes Finalizers
    8. Kubernetes 字段选择器
    9. Kubernetes 属主与附属
    10. Kubernetes 推荐使用的标签
  5. Kubernetes 架构
    1. Kubernetes 节点
    2. Kubernetes 控制面到节点通信
    3. Kubernetes 控制器
    4. Kubernetes 云控制器管理器
    5. Kubernetes 垃圾收集
    6. Kubernetes 容器运行时接口(CRI)
  6. Kubernetes 容器
    1. Kubernetes 镜像
    2. Kubernetes 容器环境
    3. Kubernetes 容器运行时类(Runtime Class)
    4. Kubernetes 容器生命周期回调
  7. Kubernetes Pods
    1. Kubernetes Pod的生命周期
    2. Kubernetes Init容器
    3. Kubernetes Pod拓扑分布约束
    4. Kubernetes 干扰(Disruptions)
    5. Kubernetes 临时容器
  8. Kubernetes 工作负载资源
    1. Kubernetes Deployments
    2. Kubernetes ReplicaSet
    3. Kubernetes StatefulSets
    4. Kubernetes DaemonSet
    5. Kubernetes Jobs
    6. Kubernetes 已完成 Job 的自动清理
    7. Kubernetes CronJob
    8. Kubernetes ReplicationController
  9. Kubernetes 服务、负载均衡和联网
    1. Kubernetes 使用拓扑键实现拓扑感知的流量路由
    2. Kubernetes 服务
    3. Kubernetes Pod 与 Service 的 DNS
    4. Kubernetes 使用 Service 连接到应用
    5. Kubernetes Ingress
    6. Kubernetes Ingress 控制器
    7. Kubernetes 拓扑感知提示
    8. Kubernetes 服务内部流量策略
    9. Kubernetes 端点切片(Endpoint Slices)
    10. Kubernetes 网络策略
    11. Kubernetes IPv4/IPv6 双协议栈
  10. Kubernetes 存储
    1. Kubernetes 卷
    2. Kubernetes 持久卷
    3. Kubernetes 投射卷
    4. Kubernetes 临时卷
    5. Kubernetes 存储类
  11. Kubernetes 配置
    1. Kubernetes 配置最佳实践
    2. Kubernetes ConfigMap
    3. Kubernetes Secret
    4. Kubernetes 为 Pod 和容器管理资源
    5. Kubernetes 使用 kubeconfig 文件组织集群访问
    6. Kubernetes Windows 节点的资源管理
  12. Kubernetes 安全
    1. Kubernetes 云原生安全概述
    2. Kubernetes Pod安全性标准
    3. Kubernetes Pod安全性准入
    4. Kubernetes Pod安全策略
    5. Kubernetes Windows节点的安全性
    6. Kubernetes API访问控制
    7. Kubernetes 基于角色的访问控制良好实践
  13. Kubernetes 策略
    1. Kubernetes 限制范围
    2. Kubernetes 资源配额
    3. Kubernetes 进程ID约束与预留
    4. Kubernetes 节点资源管理器
  14. Kubernetes 调度,抢占和驱逐
    1. Kubernetes 调度器
    2. Kubernetes 将Pod指派给节点
    3. Kubernetes Pod开销
    4. Kubernetes 污点和容忍度
    5. Kubernetes Pod优先级和抢占
    6. Kubernetes 节点压力驱逐
    7. Kubernetes API发起的驱逐
    8. Kubernetes 扩展资源的资源装箱
    9. Kubernetes 调度框架
    10. Kubernetes 调度器性能调优
  15. Kubernetes 集群管理
    1. Kubernetes 管理资源
    2. Kubernetes 集群网络系统
    3. Kubernetes 系统组件指标
    4. Kubernetes 日志架构
    5. Kubernetes 系统日志
    6. Kubernetes 追踪系统组件
    7. Kubernetes 代理
    8. Kubernetes API优先级和公平性
    9. Kubernetes 安装扩展(Addons)
  16. Kubernetes 扩展
    1. Kubernetes 扩展API
      1. Kubernetes 定制资源
      2. Kubernetes 通过聚合层扩展API
    2. Kubernetes Operator模式
    3. Kubernetes 计算、存储和网络扩展
      1. Kubernetes 网络插件
      2. Kubernetes 设备插件
    4. Kubernetes 服务目录
  17. Kubernetes 应用故障排除
    1. Kubernetes 调试Pod
    2. Kubernetes 调试Service
    3. Kubernetes 调试StatefulSet
    4. Kubernetes 调试Init容器
    5. Kubernetes 确定Pod失败的原因
    6. Kubernetes 获取正在运行容器的Shell
    7. Kubernetes 调试运行中的Pod
  18. Kubernetes 集群故障排查
    1. Kubernetes 资源指标管道
    2. Kubernetes 节点健康监测
    3. Kubernetes 使用crictl对Kubernetes节点进行调试
    4. Kubernetes Windows调试提示
    5. Kubernetes 使用telepresence在本地开发和调试服务
    6. Kubernetes 审计
    7. Kubernetes 资源监控工具
  19. Kubernetes 管理集群
    1. Kubernetes 从dockershim迁移
      1. Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
      2. Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
      3. Kubernetes CNI插件相关错误故障排除
      4. Kubernetes 查明节点上所使用的容器运行时
      5. Kubernetes 检查弃用Dockershim是否对你有影响
      6. Kubernetes 从dockershim迁移遥测和安全代理
    2. Kubernetes 用kubeadm进行管理
      1. Kubernetes 使用kubeadm进行证书管理
      2. Kubernetes 配置cgroup驱动
      3. Kubernetes 重新配置kubeadm集群
      4. Kubernetes 升级kubeadm集群
      5. Kubernetes 添加Windows节点
      6. Kubernetes 升级Windows节点
    3. Kubernetes 手动生成证书
    4. Kubernetes 管理内存,CPU和API资源
      1. Kubernetes 为命名空间配置默认的内存请求和限制
      2. Kubernetes 为命名空间配置默认的CPU请求和限制
      3. Kubernetes 配置命名空间的最小和最大内存约束
      4. Kubernetes 为命名空间配置CPU最小和最大约束
      5. Kubernetes 为命名空间配置内存和CPU配额
      6. Kubernetes 配置命名空间下Pod配额
    5. Kubernetes 安装网络策略驱动
      1. Kubernetes 使用Antrea提供NetworkPolicy
      2. Kubernetes 使用Calico提供NetworkPolicy
      3. Kubernetes 使用Cilium提供NetworkPolicy
      4. Kubernetes 使用kube-router提供NetworkPolicy
      5. Kubernetes 使用Romana提供NetworkPolicy
      6. Kubernetes 使用Weave Net提供NetworkPolicy
    6. Kubernetes IP Masquerade Agent用户指南
    7. Kubernetes 云管理控制器
    8. Kubernetes 验证签名的容器镜像
    9. Kubernetes 运行 etcd 集群
    10. Kubernetes 为系统守护进程预留计算资源
    11. Kubernetes 为节点发布扩展资源
    12. Kubernetes 以非root用户身份运行Kubernetes节点组件
    13. Kubernetes 使用CoreDNS进行服务发现
    14. Kubernetes 使用KMS驱动进行数据加密
    15. Kubernetes 使用Kubernetes API访问集群
    16. Kubernetes 使用NUMA感知的内存管理器
    17. Kubernetes 保护集群
    18. Kubernetes 关键插件Pod的调度保证
    19. Kubernetes 升级集群
    20. Kubernetes 名字空间演练
    21. Kubernetes 启用/禁用Kubernetes API
    22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
    23. Kubernetes 在Kubernetes集群中使用sysctl
    24. Kubernetes 在运行中的集群上重新配置节点的kubelet
    25. Kubernetes 在集群中使用级联删除
    26. Kubernetes 声明网络策略
    27. Kubernetes 安全地清空一个节点
    28. Kubernetes 开发云控制器管理器
    29. Kubernetes 开启服务拓扑
    30. Kubernetes 控制节点上的CPU管理策略
    31. Kubernetes 控制节点上的拓扑管理策略
    32. Kubernetes 改变默认StorageClass
    33. Kubernetes 更改PersistentVolume的回收策略
    34. Kubernetes 自动扩缩集群DNS服务
    35. Kubernetes 自定义DNS服务
    36. Kubernetes 调试DNS问题
    37. Kubernetes 迁移多副本的控制面以使用云控制器管理器
    38. Kubernetes 通过名字空间共享集群
    39. Kubernetes 通过配置文件设置Kubelet参数
    40. Kubernetes 配置API对象配额
    41. Kubernetes 限制存储消耗
    42. Kubernetes 静态加密Secret数据
  20. Kubernetes 配置Pods和容器
    1. Kubernetes 为容器和Pod分配内存资源
    2. Kubernetes 为Windows Pod和容器配置GMSA
    3. Kubernetes 为Windows的Pod和容器配置RunAsUserName
    4. Kubernetes 为容器和Pods分配CPU资源
    5. Kubernetes 创建Windows HostProcess Pod
    6. Kubernetes 配置Pod的服务质量
    7. Kubernetes 为容器分派扩展资源
    8. Kubernetes 配置Pod以使用卷进行存储
    9. Kubernetes 配置Pod以使用PersistentVolume作为存储
    10. Kubernetes 配置Pod使用投射卷作存储
    11. Kubernetes 为Pod或容器配置安全上下文
    12. Kubernetes 为Pod配置服务账户
    13. Kubernetes 从私有仓库拉取镜像
    14. Kubernetes 配置存活、就绪和启动探测器
    15. Kubernetes 将Pod分配给节点
    16. Kubernetes 用节点亲和性把Pods分配到节点
    17. Kubernetes 配置Pod初始化
    18. Kubernetes 为容器的生命周期事件设置处理函数
    19. Kubernetes 配置Pod使用ConfigMap
    20. Kubernetes 在Pod中的容器之间共享进程命名空间
    21. Kubernetes 创建静态Pod
    22. Kubernetes 将Docker Compose文件转换为Kubernetes资源
    23. Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
    24. Kubernetes 使用名字空间标签来实施Pod安全性标准
    25. Kubernetes 通过配置内置准入控制器实施Pod安全标准
  21. Kubernetes 管理Kubernetes对象
    1. Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
    2. Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
    3. Kubernetes 使用指令式命令管理Kubernetes对象
    4. Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
    5. Kubernetes 使用kubectl patch更新API对象
  22. Kubernetes 管理Secrets
    1. Kubernetes 使用kubectl管理Secret
    2. Kubernetes 使用配置文件管理Secret
    3. Kubernetes 使用Kustomize管理Secret
  23. Kubernetes 给应用注入数据
    1. Kubernetes 为容器设置启动时要执行的命令和参数
    2. Kubernetes 为容器设置环境变量
    3. Kubernetes 定义相互依赖的环境变量
    4. Kubernetes 通过环境变量将Pod信息呈现给容器
    5. Kubernetes 通过文件将Pod信息呈现给容器
    6. Kubernetes 使用Secret安全地分发凭证
  24. Kubernetes 运行应用
    1. Kubernetes 使用Deployment运行一个无状态应用
    2. Kubernetes 运行一个单实例有状态应用
    3. Kubernetes 运行一个有状态的应用程序
    4. Kubernetes 删除StatefulSet
    5. Kubernetes 强制删除StatefulSet中的Pods
    6. Kubernetes Pod水平自动扩缩
    7. Kubernetes HorizontalPodAutoscaler演练
    8. Kubernetes 为应用程序设置干扰预算(Disruption Budget)
    9. Kubernetes 从Pod中访问Kubernetes API
    10. Kubernetes 扩缩StatefulSet
  25. Kubernetes 运行Jobs
    1. Kubernetes 使用CronJob运行自动化任务
    2. Kubernetes 使用工作队列进行粗粒度并行处理
    3. Kubernetes 使用工作队列进行精细的并行处理
    4. Kubernetes 使用索引作业完成静态工作分配下的并行处理
    5. Kubernetes 使用展开的方式进行并行处理
  26. Kubernetes 访问集群中的应用程序
    1. Kubernetes 部署和访问Kubernetes仪表板(Dashboard)
    2. Kubernetes 访问集群
    3. Kubernetes 使用端口转发来访问集群中的应用
    4. Kubernetes 使用服务来访问集群中的应用
    5. Kubernetes 使用Service把前端连接到后端
    6. Kubernetes 创建外部负载均衡器
    7. Kubernetes 列出集群中所有运行容器的镜像
    8. Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
    9. Kubernetes 为集群配置DNS
    10. Kubernetes 同Pod内的容器使用共享卷通信
    11. Kubernetes 访问集群上运行的服务
    12. Kubernetes 配置对多集群的访问
  27. Kubernetes 扩展Kubernetes
    1. Kubernetes 使用自定义资源
      1. Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
      2. Kubernetes CustomResourceDefinition的版本
    2. Kubernetes 配置聚合层
    3. Kubernetes 安装一个扩展的API server
    4. Kubernetes 配置多个调度器
    5. Kubernetes 使用HTTP代理访问Kubernetes API
    6. Kubernetes 使用SOCKS5代理访问Kubernetes API
    7. Kubernetes 设置Konnectivity服务
  28. Kubernetes TLS
    1. Kubernetes 为kubelet配置证书轮换
    2. Kubernetes 手动轮换CA证书
    3. Kubernetes 管理集群中的TLS认证
  29. Kubernetes 管理集群守护进程
    1. Kubernetes 对DaemonSet执行滚动更新
    2. Kubernetes 对DaemonSet执行回滚
  30. Kubernetes 安装服务目录
    1. Kubernetes 使用Helm安装Service Catalog
    2. Kubernetes 使用SC安装服务目录
  31. Kubernetes 网络
    1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
    2. Kubernetes 验证IPv4/IPv6双协议栈
  32. Kubernetes 任务
    1. Kubernetes 调度GPUs
    2. Kubernetes 管理巨页(HugePages)
    3. Kubernetes 配置kubelet镜像凭据提供程序
    4. Kubernetes 用插件扩展kubectl
  33. Kubernetes 安全
    1. Kubernetes 使用AppArmor限制容器对资源的访问
    2. Kubernetes 在集群级别应用Pod安全标准
    3. Kubernetes 在名字空间级别应用Pod安全标准
    4. Kubernetes 使用seccomp限制容器的系统调用
  34. Kubernetes 无状态应用程序
    1. Kubernetes 公开外部IP地址以访问集群中应用程序
    2. Kubernetes 示例:使用Redis部署PHP留言板应用程序
  35. Kubernetes 有状态的应用
    1. Kubernetes StatefulSet基础
    2. Kubernetes 示例:使用Persistent Volumes部署WordPress和MySQL
    3. Kubernetes 示例:使用StatefulSet部署Cassandra
    4. Kubernetes 运行ZooKeeper,一个分布式协调系统
  36. Kubernetes Service
    1. Kubernetes 使用源IP
阅读(850) 书签 (0) 我要纠错

Kubernetes 审计

2022-05-30 16:29 更新

审计

FEATURE STATE: Kubernetes v1.24 [beta]

Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。

审计功能使得集群管理员能够回答以下问题:

  • 发生了什么?
  • 什么时候发生的?
  • 谁触发的?
  • 活动发生在哪个(些)对象上?
  • 在哪观察到的?
  • 它从哪触发的?
  • 活动的后续处理行为是什么?

审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;这些审计事件会根据特定策略 被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。 当前的后端支持日志文件和 webhook。

每个请求都可被记录其相关的 阶段(stage)。已定义的阶段有:

  • RequestReceived ​- 此阶段对应审计处理器接收到请求后,并且在委托给 其余处理器之前生成的事件。
  • ResponseStarted ​- 在响应消息的头部发送后,响应消息体发送前生成的事件。 只有长时间运行的请求(例如 watch)才会生成这个阶段。
  • ResponseComplete ​- 当响应消息体完成并且没有更多数据需要传输的时候。
  • Panic ​- 当 panic 发生时生成。

Note: 审计事件配置 的配置与 Event API 对象不同。

审计日志记录功能会增加 API server 的内存消耗,因为需要为每个请求存储审计所需的某些上下文。 此外,内存消耗取决于审计日志记录的配置。

审计策略 

审计政策定义了关于应记录哪些事件以及应包含哪些数据的规则。 审计策略对象结构定义在 ​audit.k8s.io​ API 组 处理事件时,将按顺序与规则列表进行比较。第一个匹配规则设置事件的 审计级别(Audit Level)。已定义的审计级别有:

  • None ​- 符合这条规则的日志将不会记录。
  • Metadata ​- 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体。
  • Request ​- 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求。
  • RequestResponse ​- 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求。

你可以使用 ​--audit-policy-file​ 标志将包含策略的文件传递给 ​kube-apiserver​。 如果不设置该标志,则不记录事件。 注意 ​rules ​字段 必须 在审计策略文件中提供。没有(0)规则的策略将被视为非法配置。

以下是一个审计策略文件的示例:

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    resources:
    - group: ""
      # Resource "pods" doesn't match requests to any subresource of pods,
      # which is consistent with the RBAC policy.
      resources: ["pods"]
  # Log "pods/log", "pods/status" at Metadata level
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]

  # Don't log requests to a configmap called "controller-leader"
  - level: None
    resources:
    - group: ""
      resources: ["configmaps"]
      resourceNames: ["controller-leader"]

  # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API group
      resources: ["endpoints", "services"]

  # Don't log authenticated requests to certain non-resource URL paths.
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*" # Wildcard matching.
    - "/version"

  # Log the request body of configmap changes in kube-system.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["configmaps"]
    # This rule only applies to resources in the "kube-system" namespace.
    # The empty string "" can be used to select non-namespaced resources.
    namespaces: ["kube-system"]

  # Log configmap and secret changes in all other namespaces at the Metadata level.
  - level: Metadata
    resources:
    - group: "" # core API group
      resources: ["secrets", "configmaps"]

  # Log all other resources in core and extensions at the Request level.
  - level: Request
    resources:
    - group: "" # core API group
    - group: "extensions" # Version of group should NOT be included.

  # A catch-all rule to log all other requests at the Metadata level.
  - level: Metadata
    # Long-running requests like watches that fall under this rule will not
    # generate an audit event in RequestReceived.
    omitStages:
      - "RequestReceived"

你可以使用最低限度的审计策略文件在 ​Metadata ​级别记录所有请求:

# 在 Metadata 级别为所有请求生成日志
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata

如果你在打磨自己的审计配置文件,你可以使用为 Google Container-Optimized OS 设计的审计配置作为出发点。你可以参考 configure-helper.sh 脚本,该脚本能够生成审计策略文件。你可以直接在脚本中看到审计策略的绝大部份内容。

你也可以参考 ​Policy ​配置参考 以获取有关已定义字段的详细信息。

审计后端 

审计后端实现将审计事件导出到外部存储。​Kube-apiserver​ 默认提供两个后端:

  • Log 后端,将事件写入到文件系统
  • Webhook 后端,将事件发送到外部 HTTP API

在这所有情况下,审计事件均遵循 Kubernetes API 在 ​audit.k8s.io​ API 组 中定义的结构。

Note:
对于 patch 请求,请求的消息体需要是设定 patch 操作的 JSON 所构成的一个串, 而不是一个完整的 Kubernetes API 对象 JSON 串。 例如,以下的示例是一个合法的 patch 请求消息体,该请求对应 ​/apis/batch/v1/namespaces/some-namespace/jobs/some-job-name​。 
[
  {
    "op": "replace",
    "path": "/spec/parallelism",
    "value": 0
  },
  {
    "op": "remove",
    "path": "/spec/template/spec/containers/0/terminationMessagePolicy"
  }
]

Log 后端 

Log 后端将审计事件写入 JSONlines 格式的文件。 你可以使用以下 ​kube-apiserver​ 标志配置 Log 审计后端:

  • --audit-log-path​ 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。​-​ 意味着标准化
  • --audit-log-maxage​ 定义保留旧审计日志文件的最大天数
  • --audit-log-maxbackup​ 定义要保留的审计日志文件的最大数量
  • --audit-log-maxsize​ 定义审计日志文件的最大大小(兆字节)

如果你的集群控制面以 Pod 的形式运行 kube-apiserver,记得要通过 ​hostPath ​卷来访问策略文件和日志文件所在的目录,这样审计记录才会持久保存下来。例如:

  --audit-policy-file=/etc/kubernetes/audit-policy.yaml
  --audit-log-path=/var/log/kubernetes/audit/audit.log

接下来挂载数据卷:

volumeMounts:
  - mountPath: /etc/kubernetes/audit-policy.yaml
    name: audit
    readOnly: true
  - mountPath: /var/log/kubernetes/audit/
    name: audit-log
    readOnly: false

最后配置 ​hostPath​:

...
volumes:
- name: audit
  hostPath:
    path: /etc/kubernetes/audit-policy.yaml
    type: File

- name: audit-log
  hostPath:
    path: /var/log/kubernetes/audit/
    type: DirectoryOrCreate

Webhook 后端 

Webhook 后端将审计事件发送到远程 Web API,该远程 API 应该暴露与 ​kube-apiserver​ 形式相同的 API,包括其身份认证机制。你可以使用如下 kube-apiserver 标志来配置 Webhook 审计后端:

  • --audit-webhook-config-file​ 设置 Webhook 配置文件的路径。Webhook 配置文件实际上是一个 kubeconfig 文件。
  • --audit-webhook-initial-backoff​ 指定在第一次失败后重发请求等待的时间。随后的请求将以指数退避重试。

Webhook 配置文件使用 kubeconfig 格式指定服务的远程地址和用于连接它的凭据。

事件批处理 

日志和 Webhook 后端都支持批处理。以 Webhook 为例,以下是可用参数列表。要获取日志 后端的同样参数,请在参数名称中将 ​webhook ​替换为 ​log​。 默认情况下,在 ​webhook ​中批处理是被启用的,在 ​log ​中批处理是被禁用的。 同样,默认情况下,在 ​webhook ​中启用带宽限制,在 ​log ​中禁用带宽限制。

  • --audit-webhook-mode​ 定义缓存策略,可选值如下:
    • batch​ - 以批处理缓存事件和异步的过程。这是默认值。
    • blocking​ - 在 API 服务器处理每个单独事件时,阻塞其响应。
    • blocking-strict​ - 与 ​blocking ​相同,不过当审计日志在 RequestReceived 阶段 失败时,整个 API 服务请求会失效。

以下参数仅用于 ​batch ​模式。

  • --audit-webhook-batch-buffer-size​ 定义 batch 之前要缓存的事件数。 如果传入事件的速率溢出缓存区,则会丢弃事件。
  • --audit-webhook-batch-max-size​ 定义一个 batch 中的最大事件数。
  • --audit-webhook-batch-max-wait​ 无条件 batch 队列中的事件前等待的最大事件。
  • --audit-webhook-batch-throttle-qps​ 每秒生成的最大批次数。
  • --audit-webhook-batch-throttle-burst​ 在达到允许的 QPS 前,同一时刻允许存在的最大 batch 生成数。

参数调整 

需要设置参数以适应 API 服务器上的负载。

例如,如果 kube-apiserver 每秒收到 100 个请求,并且每个请求仅在 ​ResponseStarted ​和 ​ResponseComplete ​阶段进行审计,则应该考虑每秒生成约 200 个审计事件。 假设批处理中最多有 100 个事件,则应将限制级别设置为每秒至少 2 个查询。 假设后端最多需要 5 秒钟来写入事件,你应该设置缓冲区大小以容纳最多 5 秒的事件, 即 10 个 batch,即 1000 个事件。

但是,在大多数情况下,默认参数应该足够了,你不必手动设置它们。 你可以查看 kube-apiserver 公开的以下 Prometheus 指标,并在日志中监控审计子系统的状态。

  • apiserver_audit_event_total ​包含所有暴露的审计事件数量的指标。
  • apiserver_audit_error_total ​在暴露时由于发生错误而被丢弃的事件的数量。

日志条目截断 

日志后端和 Webhook 后端都支持限制所输出的事件的尺寸。 例如,下面是可以为日志后端配置的标志列表:

  • audit-log-truncate-enabled​:是否弃用事件和批次的截断处理。
  • audit-log-truncate-max-batch-size​:向下层后端发送的各批次的最大尺寸字节数。
  • audit-log-truncate-max-event-size​:向下层后端发送的审计事件的最大尺寸字节数。

默认情况下,截断操作在 ​webhook ​和 ​log ​后端都是被禁用的,集群管理员需要设置 ​audit-log-truncate-enabled​ 或 ​audit-webhook-truncate-enabled​ 标志来启用此操作。


以上内容是否对您有帮助:
Kubernetes 使用telepresence在本地开发和调试服务
Kubernetes 资源监控工具
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号