[TOC] Kubernetes 審計（Auditing） 功能提供了與安全相關的、按時間順序排列的記錄集， 記錄每個用戶、使用 Kubernetes API 的應用以及控制面自身引發的活動。 它能幫助集群管理員處理以下問題： - 發生了什么？ - 什么時候發生的？ - 誰觸發的？ - 活動發生在哪個（些）對象上？ - 在哪觀察到的？ - 它從哪觸發的？ - 活動的后續處理行為是什么？ 審計記錄最初產生于 kube-apiserver 內部。每個請求在不同執行階段都會生成審計事件；這些審計事件會根據特定策略 被預處理并寫入后端。策略確定要記錄的內容和用來存儲記錄的后端。 當前的后端支持 `日志文件` 和 `webhook`。 每個請求都可被記錄其相關的 階段（stage）。已定義的階段有： - `RequestReceived` - 此階段對應審計處理器接收到請求后，并且在委托給 其余處理器之前生成的事件。 - `ResponseStarted` - 在響應消息的頭部發送后，響應消息體發送前生成的事件。 只有長時間運行的請求（例如 watch）才會生成這個階段。 - `ResponseComplete` - 當響應消息體完成并且沒有更多數據需要傳輸的時候。 - `Panic` - 當 panic 發生時生成。 審計日志記錄功能會增加 API server 的內存消耗，因為需要為每個請求存儲審計所需的某些上下文。 此外，內存消耗取決于審計日志記錄的配置。 ## 審計策略 審計政策定義了關于應記錄哪些事件以及應包含哪些數據的規則。 審計策略對象結構定義在 audit.k8s.io API 組 處理事件時，將按順序與規則列表進行比較。第一個匹配規則設置事件的 審計級別（Audit Level）。已定義的審計級別有： - `None` - 符合這條規則的日志將不會記錄。 - `Metadata` - 記錄請求的元數據（請求的用戶、時間戳、資源、動詞等等）， 但是不記錄請求或者響應的消息體。 - `Request` - 記錄事件的元數據和請求的消息體，但是不記錄響應的消息體。 這不適用于非資源類型的請求。 - `RequestResponse` - 記錄事件的元數據，請求和響應的消息體。這不適用于非資源類型的請求。 你可以使用 --audit-policy-file 標志將包含策略的文件傳遞給 kube-apiserver。 如果不設置該標志，則不記錄事件。 注意 rules 字段 必須 在審計策略文件中提供。沒有（0）規則的策略將被視為非法配置。 ## 審計后端 審計后端實現將審計事件導出到外部存儲。Kube-apiserver 默認提供兩個后端： - Log 后端，將事件寫入到文件系統 - Webhook 后端，將事件發送到外部 HTTP API > 這里分析log后端 Log 后端將審計事件寫入 JSONlines 格式的文件。 你可以使用以下 kube-apiserver 標志配置 Log 審計后端： - `--audit-log-path` 指定用來寫入審計事件的日志文件路徑。不指定此標志會禁用日志后端。- 意味著標準化 - `--audit-log-maxage` 定義保留舊審計日志文件的最大天數 - `--audit-log-maxbackup` 定義要保留的審計日志文件的最大數量 - `--audit-log-maxsize` 定義審計日志文件的最大大小（兆字節） ## 審計策略示例 1. 創建審計策略 ```yaml apiVersion: audit.k8s.io/v1beta1 kind: Policy rules: # 所有資源都記錄請求的元數據（請求的用戶、時間戳、資源、動詞等等）， 但是不記錄請求或者響應的消息體。 - level: Metadata # 只有pods資源記錄事件的元數據和請求的消息體，但是不記錄響應的消息體。 - level: Request resources: - group: "" resources: ["pods"] ``` 2. 創建log后端審計 在 `kube-apiserver` 服務配置文件中添加以下幾行： ```shell # 審計策略文件位置 --audit-policy-file=/data/k8s/conf/kube-apiserver-audit.yml \ # 根據文件名中編碼的時間戳保留舊審計日志文件的最大天數。 --audit-log-maxage=3 \ # 輪換之前，審計日志文件的最大大小（以兆字節為單位） --audit-log-maxsize=100 \ # 審計日志路徑 --audit-log-path=/data/k8s/logs/kubernetes.audit \ ``` 3. 重啟kube-apiserver服務 ```shell systemctl restart kube-apiserver.service ``` ## 參考文章 https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-apiserver/ https://kubernetes.io/zh/docs/reference/config-api/apiserver-audit.v1/#audit-k8s-io-v1-Policy https://kubernetes.io/zh/docs/reference/config-api/apiserver-audit.v1/#audit-k8s-io-v1-PolicyRule