Включение / настройка журналов аудита в кластере k3s (с помощью k3d для настройки кластера)
В настоящее время я пытаюсь включить и настроить журналы аудита в кластере k3s. В настоящее время я использую k3d для настройки кластера k3s. Есть ли способ настроить ведение журнала аудита?
Я знаю, что вы можете анализировать аргументы сервера k3s при создании кластера с k3d. Итак, я попробовал это с этим:
k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log' --k3s-server-arg '--kube-apiserver-arg=audit-policy-file=/etc/kubernetes/audit-policies/policy.yaml'
Очевидная проблема заключается в том, что до сих пор в кластере не существует политики аудита. Таким образом происходит сбой при создании кластера.
Также попробовал, настроив кластер, используя:
k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log'
Затем ssh на главный узел, создал файл политики в нужном каталоге, но тогда я не могу найти способ установить переменную кластера
Сделать это с помощью minikube довольно просто (так как он также задокументирован), но я не смог заставить его работать с k3d - в документации также нет ничего относительно этого. Но я уверен, что должен быть способ настройки журналов аудита на k3s без использования сторонних приложений, таких как
Есть у кого-нибудь идеи, как решить проблему? Или хотите поделиться подобным опытом?
1 ответ
Я использовал следующую команду для создания кластера с функциями аудитлога. Я использовал тома для предоставления файла политики кластеру. Я думаю, что для этого необходимо установить переменные и файл-политики аудита, и путь-журнала аудита.
k3d cluster create test-cluster \\
--k3s-arg '--kube-apiserver-arg=audit-policy-file=/var/lib/rancher/k3s/server/manifests/audit.yaml@server:*' \\
--k3s-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/audit/audit.log@server:*' \\
--volume "$(pwd)/audit/audit.yaml:/var/lib/rancher/k3s/server/manifests/audit.yaml"