我目前正在尝试在 k3s 集群中启用和配置审计日志。目前,我正在使用 k3d 来设置我的 k3s 集群。有没有办法配置审计日志?
我知道您可以在使用 k3d 创建集群时解析 k3s 服务器参数。所以,我尝试了这个:
k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log' --k3s-server-arg '--kube-apiserver-arg=audit-policy-file=/etc/kubernetes/audit-policies/policy.yaml'
一个明显的问题是直到现在集群中还没有审计策略。因此,它在创建集群时崩溃。
也尝试过,使用以下方法设置集群:
k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log'
然后 ssh 到主节点,在想要的目录中创建了策略文件,但是我找不到将集群变量audit-log-path
设置为该目录的方法。因此,这些政策将不适用。
使用 minikube 执行此操作非常简单(因为它也有文档记录),但我无法让它与 k3d 一起使用 - 文档中也没有任何关于此的内容。但我敢肯定,必须有一种方法可以在 k3s 上配置审计日志,而不使用像Falco
.
有人知道如何解决这个问题吗?或者想分享一些类似的经验?