檢視次數:

在 kubeadm 叢集中啟用 Kubernetes 審計日誌收集,方法是建立審計策略和 webhook 配置檔案,編輯 kube-apiserver 靜態 Pod 清單,然後等待 kubelet 重新啟動該 Pod。

重要
重要
kubeadm 叢集以 kubelet 管理的靜態 Pod 形式運行 kube-apiserver。由於 kube-apiserver 在 CoreDNS 可用之前啟動,因此無法解析 Kubernetes 服務的 DNS 名稱。稽核收集器必須使用 hostNetwork: true 並通過 127.0.0.1 連接。

步驟

  1. 建立稽核配置目錄和檔案。
    執行以下命令以建立稽核政策和 webhook 配置:
    sudo mkdir -p /etc/kubernetes/audit

sudo tee /etc/kubernetes/audit/audit-policy.yaml << 'EOF'
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
  - level: Metadata
    verbs: ["create"]
    resources:
      - group: "authorization.k8s.io"
        resources: ["subjectaccessreviews", "selfsubjectaccessreviews", "localsubjectaccessreviews"]
  - level: RequestResponse
    verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
    resources:
      - group: "rbac.authorization.k8s.io"
        resources: ["roles", "rolebindings", "clusterroles", "clusterrolebindings"]
  - level: Metadata
    verbs: ["create", "update", "delete"]
    resources:
      - group: ""
        resources: ["serviceaccounts"]
  - level: None
EOF

sudo tee /etc/kubernetes/audit/audit-webhook-config.yaml << 'EOF'
apiVersion: v1
kind: Config
clusters:
- name: audit-collector
  cluster:
    server: http://127.0.0.1:8030/k8s-audit
contexts:
- context:
    cluster: audit-collector
    user: ""
  name: default-context
current-context: default-context
preferences: {}
users: []
EOF
  2. 在每個控制平面節點上編輯 kube-apiserver 靜態 Pod 清單。
    編輯 /etc/kubernetes/manifests/kube-apiserver.yaml
    1. 將以下標誌新增至spec.containers[0].command
          - --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml
    - --audit-webhook-config-file=/etc/kubernetes/audit/audit-webhook-config.yaml
    - --audit-webhook-batch-max-size=1
    2. 將磁碟掛載新增至spec.containers[0].volumeMounts
          - mountPath: /etc/kubernetes/audit
      name: audit-config
      readOnly: true
    3. 將磁碟區新增至spec.volumes
        - hostPath:
      path: /etc/kubernetes/audit
      type: DirectoryOrCreate
    name: audit-config
  3. 等候自動重新啟動。
    kubelet 監控 /etc/kubernetes/manifests/,當您保存清單時會自動重新啟動 kube-apiserver pod。無需手動重啟。
    注意
    注意
    kubelet可能需要最多一分鐘來檢測變更並重新啟動pod。在重新啟動期間,API伺服器將暫時不可用。
  4. 驗證設定。
    # Check kube-apiserver is running
kubectl get pods -n kube-system -l component=kube-apiserver

# Confirm audit flags are applied
kubectl get pod -n kube-system -l component=kube-apiserver -o yaml | grep -E "audit-policy|audit-webhook"

# Check audit collector logs
kubectl logs -n trendmicro-system -l app.kubernetes.io/component=trendmicro-audit-log-collector --tail=20