我目前正在尝试更改openshift-kube-apiserver pod的审核策略,以输出默认情况下未设置的更多信息,主要是获取所有传入请求的requestBody。 kube-apiserver中有一个选项可以在此处更改审核策略:https://kubernetes.io/docs/tasks/debug-application-cluster/audit/。但是,我似乎在OpenShift上找不到该选项。我怀疑它可能在openshift-kube-apiserver-operator中,但是已经走到了尽头。是否有其他人对此问题有经验并可以提供一些指导?先感谢您。

最佳答案

不幸的是,目前OpenShift v4不允许您自定义审核策略。 OpenShift v3可以自定义它。但是,从OCPv4.6开始,您也可以指定一些预定义的策略而不是自定义策略。
有关更多详细信息,请参考Configuring the node audit log policy
OpenShift Container Platform提供以下预定义的审核策略配置文件:

  • Default仅记录用于读取和写入请求的元数据;不记录请求正文。这是默认策略。
  • WriteRequestBodies除了记录所有请求的元数据外,还将每个写入请求的请求主体记录到API服务器(创建,更新,补丁)。
  • AllRequestBodies除了记录所有请求的元数据外,还记录对API服务器(获取,列出,创建,更新,补丁)的每个读写请求的请求主体。

  • 您可以按以下方式更改审核策略,
    $ oc edit apiserver cluster
    apiVersion: config.openshift.io/v1
    kind: APIServer
    metadata:
    ...
    spec:
      audit:
        profile: WriteRequestBodies
    
    完成上述更改后,所有kube-apiserver容器都将通过滚动更新重新启动以生效。

    关于kubernetes - 如何在OpenShift上更改kube-apiserver audit-policy.yaml?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/64545445/

    10-16 00:01