集群审计
所有文档
menu

容器引擎 CCE

集群审计

产品详情自助选购

概述

集群审计是基于 Kubernetes Audit 对 kube-apiserver 产生的可配置策略的 JSON 结构日志的记录存储及检索功能,支持通过 API Server 审计日志来记录用户在集群中的日常操作,帮助集群管理员对集群的操作行为进行安全审计,保证集群安全、稳定运行。本文为您介绍如何配置集群审计功能。

使用限制

  • 本文仅适用于 CCE 托管集群、独立集群。
  • 请确保您账号下 BLS 日志服务资源没有超出配额,否则会导致集群审计功能开启失败。

    • 目前BLS 日志服务允许每个 accoutID 下最多可创建50个日志集,如需更多,提工单申请
  • 当前新版集群审计由于受BLS 日志服务限制,不支持成都、香港、南京三个地域,因此这三个地域不支持集群审计功能升级,仍默认显示旧版集群审计页面。

前提条件

计费说明

  • 开启集群审计后,将采集集群审计日志投递到日志服务(BLS),日志服务会按照您的实际使用情况计费,计费标准请参考 计费概述

操作步骤

开启集群审计

  1. 登录 容器引擎控制台
  2. 在左侧导航栏,选择 集群列表
  3. 在“集群列表”页面单击目标集群,进入集群管理页面。
  4. 在集群管理页面左侧导航栏中选择 安全管理-集群审计
  5. 集群审计 页面,针对未授权开启集群审计功能的集群,单击 立即开启;针对已授权开启过集群审计功能的集群,单击 升级,即可升级集群审计,将集群审计日志投递到 BLS 日志服务。 image.png image.png

    说明

    • 开启集群审计功能,如果是独立集群,会重启集群的 API Server,导致 API Server 暂时无法访问,请勿频繁开启或关闭集群审计功能。
    • 开启集群审计功能,容器服务会在您账号下自动创建的名称为k8s-audit-{集群ID}日志集中,帮助您更安全有效的运维集群自动创建日志集,并开启日志主题的索引配置。请勿修改索引,以免报表失效。

查看审计日志

集群审计功能配置完成后,您可以在集群审计页面中,查看集群审计日志信息。
image.png

说明

  • 集群审计日志在BLS日志服务中对应的日志集中数据默认保存时间为180天。如需修改日志的默认保存时间,请参考文档 日志集
  • 集群审计日志在BLS默认开启ObjectRef、ResponseStatus、User、Verb、namespace、resource、userID作为索引字段,如果关闭默认索引字段,将影响审计日志查询。
  • 如果您有自定义查询、分析审计日志的需求,可以进入日志服务控制台 查看详细的日志记录。

关闭集群审计

如果您不再需要集群API Server的审计功能的话,可以通过以下方法关闭审计功能。

  1. 在集群审计页面中,单击右上角 关闭集群审计
  2. 弹出二次确认对话框,单击 确认,完成配置。

    说明

    • 关闭集群审计功能,会重启集群的 API Server,导致 API Server 暂时无法访问,请勿频繁开启或关闭集群审计功能。
    • 关闭集群审计功能,不会删除 BLS 日志服务中的日志集,如需删除日志集,您可以登录 日志服务控制台 确认删除相应的日志集。
上一篇
集群服务画像
下一篇
集群审计仪表盘