我想在GKE中启用动态审核并将日志发送到某个端点。 如何启用它?
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#dynamic-backend
根据官方文档,我需要使用提及的标志重新启动api服务器。但是我无法访问GKE中的kube-api服务器pod
需要设置这3个标志
--audit-dynamic-configuratio
--feature-gates=DynamicAuditing=true
--runtime-config=auditregistration.k8s.io/v1alpha1=true
我希望它能够启用动态审核。
答案 0 :(得分:1)
考虑到GKE是Kubernetes的托管版本,而kube-api服务器完全由Google管理,因此无法传递这些标志并重新启动服务器。
但是,GKE一直在实施开源版本的Kubernetes中发布的新功能,并且这些标记可能默认情况下在oncoming version上启用。
不幸的是,似乎并非如此(not even for alpha clusters)。如果您检查通过kubectl api-resources启用的API资源,则会注意到没有auditregistration.k8s.io。
此外,此功能还有CRDs kinds(AuditSink)在GKE中尚不可用。
这时,您可以等待该功能在GKE上推出,也可以切换到开放源代码版本。