CKS真题 -- 日志审计Audit
任务
在cluster中启用审计日志。为此,请启用日志后端,并确保:
日志存储在 /var/log/kubernetes/audit-logs.txt
日志文件能保留 10 天
最多保留 2 个旧审计日志文件
/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。
注意:基本策略位于 cluster 的 master 节点上。
编辑和扩展基本策略以记录:
RequestResponse 级别的 persistentvolumes 更改
namespace front-apps 中 configmaps 更改的请求体
Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改
此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。
注意:不要忘记应用修改后的策略。
做题
- 备份并修改配置
1
2
3
4ssh master01
sudo -i
cp /etc/kubernetes/logpolicy/sample-policy.yaml /opt/bak1/
vim /etc/kubernetes/logpolicy/sample-policy.yaml
1 | apiVersion: audit.k8s.io/v1 |
- 备份并修改配置文件
1
2
3mkdir -p /opt/backup/05
cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/05
vim /etc/kubernetes/manifests/kube-apiserver.yaml
1 | spec: |
重启kubelet
1
2systemctl daemon-reload
systemctl restart kubelet检查
1
tail -f /var/log/kubernetes/audit-log.txt
参考
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Eryoung2的个人博客!
评论
ValineDisqus