集群审计
更新时间:2024-08-12
概述
集群审计是基于 Kubernetes Audit 对 kube-apiserver 产生的可配置策略的 JSON 结构日志的记录存储及检索功能,支持通过 API Server 审计日志来记录用户在集群中的日常操作,帮助集群管理员对集群的操作行为进行安全审计,保证集群安全、稳定运行。本文为您介绍如何配置集群审计功能。
使用限制
- 本文仅适用于 CCE 托管集群、独立集群。
-
请确保您账号下 BLS 日志服务资源没有超出配额,否则会导致集群审计功能开启失败。
- 目前BLS 日志服务允许每个 accoutID 下最多可创建50个日志集,如需更多,提工单申请。
前提条件
计费说明
- 开启集群审计后,将采集集群审计日志投递到日志服务(BLS),日志服务会按照您的实际使用情况计费,计费标准请参考 计费概述。
操作步骤
开启集群审计
- 登录 容器引擎控制台。
- 在左侧导航栏,选择 集群列表。
- 在“集群列表”页面单击目标集群,进入集群管理页面。
- 在集群管理页面左侧导航栏中选择 集群审计。
-
在 集群审计 页面,针对未授权开启集群审计功能的集群,单击 立即开启;针对已授权开启过集群审计功能的集群,单击 升级,即可升级集群审计,将集群审计日志投递到 BLS 日志服务。
说明
- 开启集群审计功能,会重启集群的 API Server,导致 API Server 暂时无法访问,请勿频繁开启或关闭集群审计功能。
- 开启集群审计功能,容器服务会在您账号下自动创建的名称为k8s-audit-{集群ID}日志集中,帮助您更安全有效的运维集群自动创建日志集,并开启日志主题的索引配置。请勿修改索引,以免报表失效。
查看审计日志
集群审计功能配置完成后,您可以在集群审计页面中,查看集群审计日志信息。
说明
关闭集群审计
如果您不再需要集群API Server的审计功能的话,可以通过以下方法关闭审计功能。
- 在集群审计页面中,单击右上角 关闭集群审计。
-
弹出二次确认对话框,单击 确认,完成配置。
说明
- 关闭集群审计功能,会重启集群的 API Server,导致 API Server 暂时无法访问,请勿频繁开启或关闭集群审计功能。
- 关闭集群审计功能,不会删除 BLS 日志服务中的日志集,如需删除日志集,您可以登录 日志服务控制台 确认删除相应的日志集。