我目前正在尝试更改openshift-kube-apiserver pod的审核策略,以输出默认情况下未设置的更多信息,主要是获取所有传入请求的requestBody。 kube-apiserver中有一个选项可以在此处更改审核策略:https://kubernetes.io/docs/tasks/debug-application-cluster/audit/。但是,我似乎在OpenShift上找不到该选项。我怀疑它可能在openshift-kube-apiserver-operator中,但是已经走到了尽头。是否有其他人对此问题有经验并可以提供一些指导?预先谢谢你。
答案 0 :(得分:1)
不幸的是,目前OpenShift v4不允许您自定义审核策略。 OpenShift v3可以自定义它。但是,从OCPv4.6开始,您也可以指定一些预定义的策略而不是自定义策略。 有关更多详细信息,请参见Configuring the node audit log policy。
OpenShift容器平台提供了以下预定义的审核策略配置文件:
Default
仅记录用于读取和写入请求的元数据;不记录请求正文。这是默认策略。
WriteRequestBodies
除了记录所有请求的元数据外,还将每个写入请求的请求主体记录到API服务器(创建,更新,补丁)。
AllRequestBodies
除了记录所有请求的元数据外,还记录对API服务器(获取,列出,创建,更新,补丁)的每个读写请求的请求主体。
您可以按以下方式更改审核策略,
$ oc edit apiserver cluster
apiVersion: config.openshift.io/v1
kind: APIServer
metadata:
...
spec:
audit:
profile: WriteRequestBodies
完成上述更改后,所有kube-apiserver容器都将通过滚动更新重新启动以生效。