k8s审计

最新推荐文章于 2023-05-28 18:23:27 发布
最新推荐文章于 2023-05-28 18:23:27 发布
阅读量903 收藏 2
点赞数
分类专栏: k8s 文章标签: kubernetes 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43616190/article/details/126433538
版权

介绍

Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。

审计功能使得集群管理员能够回答以下问题:

  • 发生了什么?
  • 什么时候发生的?
  • 谁触发的?
  • 活动发生在哪个(些)对象上?
  • 在哪观察到的?
  • 它从哪触发的?
  • 活动的后续处理行为是什么?

审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;这些审计事件会根据特定策略 被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。 当前的后端支持日志文件和 webhook。

审计阶段

每个请求都可被记录其相关的 阶段(stage)。已定义的阶段有:

  • RequestReceived - 一旦接收到请求即刻记录审计事件。
  • ResponseStarted - 响应头发出,响应消息体未发出之前,一般适用于长连接或者耗时任务的场景。
  • ResponseComplete - 当响应消息体完成。
  • Panic - 当 panic 发生时生成。

审计日志记录功能会增加 API server 的内存消耗,因为需要为每个请求存储审计所需的某些上下文。 此外,内存消耗取决于审计日志记录的配置。

审计策略

审计政策定义了关于应记录哪些事件以及应包含哪些数据的规则。 审计策略对象结构定义在 audit.k8s.io 的API组中。

审计级别

处理事件时,将按顺序与规则列表进行比较。第一个匹配规则设置事件的审计级别(Audit Level)。已定义的审计级别有:

  • None - 符合这条规则的日志将不会记录。
  • Metadata - 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体。
  • Request - 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求。
  • RequestResponse - 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求。

也可以使用 --audit-policy-file 标志将包含策略的文件传递给 kube-apiserver。 如果不设置该参数,则不记录事件。 注意 rules 字段必须在审计策略文件中提供。

审计后端

审计后端实现将审计事件导出到外部存储。Kube-apiserver 默认提供两个后端:

  • Log 后端,将事件写入到文件系统。
    • –audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- 意味着标准化
    • –audit-log-maxage 定义保留旧审计日志文件的最大天数
    • –audit-log-maxbackup 定义要保留的审计日志文件的最大数量
    • –audit-log-maxsize 定义审计日志文件的最大大小(兆字节)
  • Webhook 后端,将事件发送到外部 HTTP API。
    Webhook 配置文件使用 kubeconfig 格式指定服务的远程地址和用于连接它的凭据。
    • –audit-webhook-config-file 设置 Webhook 配置文件的路径。Webhook 配置文件实际上是一个 kubeconfig 文件。
      –audit-webhook-initial-backoff 指定在第一次失败后重发请求等待的时间。随后的请求将以指数退避重试。

实例

创建审计策略文件

cd /etc/kubernetes
vim audit-policy.yaml

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    resources:
    - group: ""
    # Resource "pods" doesn't match requests to any subresource of pods,
    # which is consistent with the RBAC policy.
      resources: ["pods"]
  # Log "pods/log", "pods/status" at Metadata level
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]
  # Don't log requests to a configmap called "controller-leader"
  - level: None
    resources:
    - group: ""
      resources: ["configmaps"]
      resourceNames: ["controller-leader"]
  # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API group
      resources: ["endpoints", "services"]
  # Don't log authenticated requests to certain non-resource URL paths.
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*"
    - "/version"
  # Log the request body of configmap changes in kube-system.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["configmaps"]
    # This rule only applies to resources in the "kube-system" namespace.
    # The empty string "" can be used to select non-namespaced resources.
    namespaces: ["kube-system"]
  # Log configmap and secret changes in all other namespaces at the Metadata level.
  - level: Metadata
    resources:
    - group: "" # core API group
      resources: ["secrets", "configmaps"]
  # Log all other resources in core and extensions at the Request level.
  - level: Request
    resources:
    - group: "" # core API group
    - group: "extensions"
  # A catch-all rule to log all other requests at the Metadata level.
  - level: Metadata
  # Long-running requests like watches that fall under this rule will not
  # generate an audit event in RequestReceived.
    omitStages:
      - "RequestReceived"

可以使用最低限度的审计策略文件在 Metadata 级别记录所有请求:

# 在 Metadata 级别为所有请求生成日志
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata

开启审计

vim /etc/kubernetes/manifests/kube-apiserver.yaml
- --audit-policy-file=/etc/kubernetes/audit-policy.yaml
# 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。
- --audit-log-path=/var/log/audit.log
# 定义审计日志文件的最大大小(兆字节)
- --audit-log-maxsize=100
# 定义了保留旧审计日志文件的最大天数
- --audit-log-maxage=5
# 定义了要保留的审计日志文件的最大数量
- --audit-log-maxbackup=3
# 开启日志压缩
- --audit-log-compress
# 开启截断
- --audit-log-truncate-enabled=true

file

挂载数据卷

volumeMounts:
  - mountPath: /etc/kubernetes/audit-policy.yaml
    name: audit
    readOnly: true
  - mountPath: /var/log/k8s
    name: audit-log

file

配置 hostPath

- name: audit
    hostPath:
      path: /etc/kubernetes/audit-policy.yaml
      type: File
 - name: audit-log
    hostPath:
      path: /var/log/k8s
      type: DirectoryOrCreate

file

保存后等待apiserver重启完成。

file

测试启动,删除pod,查看日志

file

file

日志轮转

我这里审计日志没有自动轮转,而是到了100m后日志就不动了。查看apiserver日志有如下报错:
file

使用logrotate

yum -y install logrotate
定义audit配置文件
cat /etc/logrotate.d/audit

/var/log/k8s/audit.log {
# 指定文件属性
	create 0644 root root
	# 不压缩
	nocompress
	# 备份日志文件但是不截断
	nocopytruncate
	# 如果是空文件的话,不转储
	notifempty
	# 如果日志丢失,不报错继续滚动下一个日志
	missingok
	# 转储后的日志文件和当前日志文件放在同一个目录下
	noolddir
	# 使用当期日期作为命名格式
	dateext
	# 指定日志文件删除之前转储的个数,5指保留5个备份
	rotate 10
	# 当日志文件到达指定的大小时才转储
	size=100MB

file

创建crontab

*/5 * * * * /usr/sbin/logrotate -f /etc/logrotate.d/audit

file

查看轮转

ll /var/log/k8s/

file

柠是柠檬的檬
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s-audit-collector:该项目支持对kubernetes集群中的多租户进行隔离的高级审核
05-19
k8s-审计收集器 抽象的 该项目支持对kubernetes集群中的多个租户进行隔离的高级审核。 动机和目标 从kubernetes 1.7开始,kubernetes支持。 借助流利的/ logstash kubernetes集群管理员可以收集审核事件并将其分发给不同的用户。 可以在找到kubernetes社区介绍的指南。 用户将可以通过文件或网页访问自己的审核事件。 但是,通过这种实现,群集管理员需要配置额外的身份验证器以支持租户隔离。 例如,管理员需要文件共享服务和向租户分发用户名/密码。 如果管理员使用Elasticsearch之类的工具来实现访问控制,那么同样的问题仍然存在,并且管理员需要维护另一个身份验证器以及kubernetes自己的身份验证器。 K8s-audit-collector为用户提供了一种更加用户友好的方式。 它使用租户的获取呼叫者的身份,并根据用户的服务帐户授予
audit-kubernetesk8s审计
02-04
公开版简介 Trail of Bits使用GitHub进行许多评论; 我们签入客户端源代码,我们的源代码,屏幕截图,注释和&c。 到单个存储库,并通过GitHub协调我们的工作。 例如,我们通过以下问题审查了各种网络方案: 我们有一个系统来标记严重性,所需的帮助等信息,从而使评估团队可以在一个位置查找与项目有关的任何信息。 此外,我们经常邀请客户进入我们的资源库,使他们对项目状态的了解水平与我们相同。 我们决定开放此评估的存储库,展示我们的工作,编写的注释,并允许社区查看我们在评估过程中采取了什么方向。 资料库的重点 存储库中有一些社区可能感兴趣的领域: Bobby的的可帮助用户部署本地测试
kubernetes1.7新特性:日志审计变化
容器技术爱好者
08-01 1万+
背景概念出于安全方面的考虑,Kubernetes提供了日志审计记录,用来记录不同普通用户、管理员和系统中各个组件的日志信息。Kubernetes日志审计是Kube-apiserver组件的一部分功能,通过日志审计来记录apiserver上面所有请求处理过程。每条审计日志记录包括两行:1、  请求行:唯一ID、源IP、请求用户、请求资源信息、模拟信息等。2、  响应行:唯一ID、相应信息代码。通过唯
rancher 给k8s api 审计日志增加webhook
guoguangwu的专栏
12-13 517
rancher 给k8s api 审计日志增加webhook
kube-apiserver参数指标说明
砚墨
05-27 2455
Kubernetes API 配置的作用是 验证API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互 --add-dir-header 如果为 true,则将文件目录添加到日志消息的标题中 --admission-control-config-file string 包含准入控制配置的文件。 --advertise-address ip 向集群成员通知 apiserver 消息的 IP
带你玩转kubernetes-k8s(第63篇-Kubernetes之集群统一日志管理)
坚持的道路注定孤独
09-16 902
Kubernetes集群环境中,一个完整的应用或服务都会涉及为数众多的组件运行,各组件所在的Node及实例数量都是可变的。日志子系统如果不做集中化管理,则会给系统的运维支撑造成很大的困难,因此有必要在集群层面对日志进行统一收集和检索等工作。 在容器中输出到控制台的日志,都会以*-json.log的命名方式保存在/var/lib/docker/containers/目录下,这就为日志采集和后续处...
初识容器安全项目 Falco
weixin_41020960的博客
03-11 2609
1. 为什么需要 Falco? 容器化普及进行的如火如荼,但是无论是公有云环境还是企业内部的容器化环境,都有可能会面对部分异常的用户行为,有些是有意为之,有些可能是无意之失,但是都可能给容器底层的主机造成安全的隐患。 容器的工作模式是共享宿主机内核,从出道以来就面临着各种安全的问题,比如 Fork 炸弹会一直耗尽主机的进程资源、容器逃逸获取到主机各种资源等都可能带来安全隐患(部分安全隐患已经得到了有效的解决,但是仍然存在众多的情况会造成安全问题)。 业内也有诸如gVisor和Kata Conta...
Kubernetes 审计
cl18707602767的博客
05-03 357
Kubernetes 集群中,API Server 的审计日志可以帮助集群管理人员记录和追溯不同用户的日常操作,是集群安全运维中重要的环节。
k8s审计日志
fourierr的博客
05-03 1367
k8s在 v1.7 版本中发布了审计Audit)日志功能,审计Audit)提供了时序操作记录(包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等)。K8s 中的审计日志是标准的 JSON 格式,APIServer 会根据具体的日志策略将对应的审计日志保存本地,并可以设置最大保存周期、时间、轮转策略等,一般在/var/log/kube-apiserver目录下。
K8s进阶7——Sysdig、Falco、审计日志
最新发布
百慕卿君博客
05-28 2290
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
AlertManager实现webhook告警(使用Postman测试)
热门推荐
程序员小王的博客
03-20 1万+
AlertManager实现webhook告警(使用Postman测试),Alertmanager 主要用于接收 Prometheus 发送的告警信息,它支持丰富的告警通知渠道,而且很容易做到告警信息进行去重,降噪,分组等,是一款前卫的告警通知系统。但是我们公司内部不使用Prometheus,只使用AlertManager.
云原生 | Kubernetes - Webhook 模式
Trollz的博客
01-18 1482
版本兼容规则
mysql8.0审计插件Mcafee安装详解
01-12
mysql8.0审计插件Mcafee安装详解
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 ...第7章 模块六:监控、审计和运行时安全 第8章 考前辅导 第9章 谈谈Linux系统安全加固方案 第10章 在线答疑,解决你的问题
Docker搭建私有仓库之Harbor的步骤
01-09
 Harbor是构建企业级私有docker镜像的仓库的开源解决方案,它是Docker Registry的更高级封装, 它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm...
k8s API Server 中的认证、鉴权、准入、限流总结分享
奔跑的蜗牛的博客
02-11 2363
API Server 是 k8s 中非常重要的一个控制组件之一,承担着 k8s 的门神的作用,所有的外部请求以及节点间的交互都需要经过它。它的核心作用就是对请求进行认证、鉴权、准入、限流。同时它还承担着缓冲的作用,将一些资源对象缓存,大大减少了 etcd 的压力,保证了集群的稳定性。 因此 API Server 的稳定运行是非常重要的。 本文章主要对API Server 中的核心流程做了总结,并且进行了一些实践,记录与之分享。
kubernetes--kubernetes审计日志(api访问日志)
m0_57911290的博客
03-25 1964
Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务请求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志。审计日志采用JSON输出,每条日志报包含丰富的元数据,例如请求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。管理节点(controller-manager scheduler)工作节点(kubelt、kube-proxy)集群服务(CoreDNS、Calico、HPA等)
Kubernetes APIServer安全 审计日志
小楼一夜听春雨,深巷明朝卖杏花
07-31 2130
What are Kubernetes audit logs? Audit logsrecord requests to theKubernetes API. Because the API server processes all changes to Kubernetes state—and serves as the gatekeeper to the backend database that stores this state—the API server is an ideal po.....
三十二 、K8s审计
tushanpeipei的博客
12-17 1774
审计audit)在K8s中的应用。
k8s审计功能怎么配置
03-13
对于这个问题,我可以回答。Kubernetes审计功能可以...审计策略文件可以定义哪些请求需要被审计,以及审计日志的格式等信息。需要注意的是,启用审计功能会对系统性能产生一定影响,因此需要根据实际情况进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柠是柠檬的檬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值