审计策略

概述

审计在 minikube 中默认不启用。本教程展示如何在启动时向 minikube API 服务器提供 审计策略 文件。

教程

minikube stop

mkdir -p ~/.minikube/files/etc/ssl/certs

cat <<EOF > ~/.minikube/files/etc/ssl/certs/audit-policy.yaml
# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
EOF

minikube start \
  --extra-config=apiserver.audit-policy-file=/etc/ssl/certs/audit-policy.yaml \
  --extra-config=apiserver.audit-log-path=-

kubectl logs kube-apiserver-minikube -n kube-system | grep audit.k8s.io/v1

本教程中使用的审计策略非常简单且非常详细。作为下一步，您可能需要微调 audit-policy.yaml 文件。要应用更改，您需要停止并启动 minikube。重新启动 minikube 会触发文件同步机制，该机制会将 yaml 文件复制到 minikube 节点上，并使 API 服务器读取更改后的策略文件。

注意：目前没有专门的目录来存储 ~/.minikube/ 中的 audit-policy.yaml 文件。使用 ~/.minikube/files/etc/ssl/certs 目录是一种解决方法！此解决方法的工作方式如下：通过将文件放入 ~/.minikube/files/ 的子目录中，将触发文件同步机制，并将 audit-policy.yaml 文件从主机复制到 minikube 节点。当 API 服务器容器由 kubeadm 启动时，我将把 /etc/ssl/certs 目录从 minikube 节点挂载到容器中。这就是为什么 audit-policy.yaml 文件必须存储在 ssl 证书目录中的原因：它是从 minikube 节点挂载到容器中的目录之一。