CKS学习笔记-Audit 审计 练习

审计

FEATURE STATE: Kubernetes v1.22 [beta]
官网链接:https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/

Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。

审计功能使得集群管理员能够回答以下问题:

发生了什么?
什么时候发生的?
谁触发的?
活动发生在哪个(些)对象上?
在哪观察到的?
它从哪触发的?

活动的后续处理行为是什么?

  • 审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;
  • 这些审计事件会根据特定策略 被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。
  • 当前的后端支持日志文件和 webhook。
    CKS学习笔记-Audit 审计 练习_第1张图片

每个请求都可被记录其相关的 阶段(stage)。已定义的阶段有:

  • RequestReceived - 此阶段对应审计处理器接收到请求后,并且在委托给 其余处理器之前生成的事件。
  • ResponseStarted - 在响应消息的头部发送后,响应消息体发送前生成的事件。 只有长时间运行的请求(例如 watch)才会生成这个阶段。
  • ResponseComplete - 当响应消息体完成并且没有更多数据需要传输的时候。
  • Panic - 当 panic 发生时生成。

说明: 审计事件配置 的配置与 Event API 对象不同。

审计日志记录功能会增加 API server 的内存消耗,因为需要为每个请求存储审计所需的某些上下文。 此外,内存消耗取决于审计日志记录的配置。

审计策略

审计政策定义了关于应记录哪些事件以及应包含哪些数据的规则。 审计策略对象结构定义在 audit.k8s.io API 组 处理事件时,将按顺序与规则列表进行比较。
第一个匹配规则设置事件的 审计级别(Audit Level)。

已定义的审计级别有:

  • None - 符合这条规则的日志将不会记录。
  • Metadata - 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体。
  • Request - 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求。
  • RequestResponse - 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求。

可以使用 –audit-policy-file 标志将包含策略的文件传递给 kube-apiserver。 如果不设置该标志,则不记录事件。

注意 rules 字段 必须 在审计策略文件中提供。没有(0)规则的策略将被视为非法配置。

审计后端

审计后端实现将审计事件导出到外部存储。Kube-apiserver 默认提供两个后端:

  • Log 后端,将事件写入到文件系统
  • Webhook 后端,将事件发送到外部 HTTP API

Log 后端

Log 后端将审计事件写入 JSONlines 格式的文件。 你可以使用以下 kube-apiserver 标志配置 Log 审计后端:

  • –audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- 意味着标准化
  • –audit-log-maxage 定义保留旧审计日志文件的最大天数
  • –audit-log-maxbackup 定义要保留的审计日志文件的最大数量
  • –audit-log-maxsize 定义审计日志文件的最大大小(兆字节)

Webhook 后端

Webhook 后端将审计事件发送到远程 Web API,该远程 API 应该暴露与 kube-apiserver 形式相同的 API,包括其身份认证机制。

可以使用如下 kube-apiserver 标志来配置 Webhook 审计后端:

  • –audit-webhook-config-file 设置 Webhook 配置文件的路径。Webhook 配置文件实际上是一个 kubeconfig 文件。
  • –audit-webhook-initial-backoff 指定在第一次失败后重发请求等待的时间。随后的请求将以指数退避重试。

Webhook 配置文件使用 kubeconfig 格式指定服务的远程地址和用于连接它的凭据。

示例

在集群中启用审计:

  1. logs存在/var/log/kubernetes/audit-logs.txt
  2. log 文件需要保留10天
  3. 最大保存文件数为2
  4. Policy:
  • namespaces changes at RequestResponse level
  • the request body of persistentvolumes in the namespace front-apps
  • configMap and secret changes in all namespaces at the Metadata level
  • Also, add a catch-all rule to log all other requests at the Metadata level.

实现步骤

  1. 按照要求编写policy.yaml–>/root/tmp/audit/audit-policy.yaml
root@master-01:~/tmp/audit# cat audit-policy.yaml 
apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    resources:
    - group: ""
      # which is consistent with the RBAC policy.
      resources: ["namespaces"]
  ......

  # Log the request body of configmap changes in front-apps.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["persistentvolumes"]
    # This rule only applies to resources in the "front-apps" namespace.
    # The empty string "" can be used to select non-namespaced resources.
    namespaces: ["front-apps"]

  # Log configmap and secret changes in all other namespaces at the Metadata level.
  - level: Metadata
    resources:
    - group: "" # core API group
      resources: ["secrets", "configmaps"]

 ......
 
  # A catch-all rule to log all other requests at the Metadata level.
  - level: Metadata
    # Long-running requests like watches that fall under this rule will not
    # generate an audit event in RequestReceived.
    omitStages:
      - "RequestReceived"
  1. 修改kube-apiserver.yaml
    修改的地方:

root@master-01:~/tmp/audit# vim /etc/kubernetes/manifests/kube-apiserver.yaml

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 192.168.21.110:6443
    ......
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.21.110
    - --audit-policy-file=/root/tmp/audit/audit-policy.yaml
    - --audit-log-path=/var/log/kubernetes/audit-log.txt
    - --audit-log-maxage=10 
    - --audit-log-maxbackup=2
    ......
  1. 重启kubelet

你可能感兴趣的:(Kubernetes,CKS,cks)