在 GKE 中启用审核日志记录

Posted 2023-03-26

【中文标题】在 GKE 中启用审核日志记录

【英文标题】：enable audit logging in GKE

【发布时间】：2019-12-01 02:51:28

【问题描述】：

我想在 GKE 中启用动态审核并将日志发送到某个端点。 如何启用它？

https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#dynamic-backend

根据官方文档，我需要使用提到的标志重新启动 api 服务器。但我无法访问 GKE 中的 kube-api 服务器 pod

需要设置这3个标志

--audit-dynamic-configuratio
--feature-gates=DynamicAuditing=true
--runtime-config=auditregistration.k8s.io/v1alpha1=true

我希望它能够启用动态审计。

【问题讨论】：

欢迎来到 ***！这个问题与编程有关吗？请阅读What topics can I ask about here?

cloud.google.com/kubernetes-engine/docs/how-to/…

【参考方案1】：

考虑到 GKE 是 Kubernetes 的托管版本，而 kube-api 服务器完全由 Google 托管，因此无法传递这些标志并重新启动服务器。

但是，GKE 会不断实现 Kubernetes 开源版本中发布的新功能，并且这些标志可能会在 oncoming version 上默认启用。

不幸的是，具体来说，情况似乎并非如此 (not even for alpha clusters)。如果您检查使用kubectl api-resources 启用的API 资源，您会注意到没有auditregistration.k8s.io。

此外，此功能还有 CRDs kinds (AuditSink) 在 GKE 中尚不可用。

此时，您可以等待该功能在 GKE 上推出，也可以切换到开源版本。