Joh*_*nes 4 rbac kubernetes abac google-kubernetes-engine
GKE日志RBAC权限事件在哪里?
在具有kubernetes版本v1.6的Google容器引擎(GKE)群集上,默认情况下启用RBAC授权.显然,ABAC也可以作为后备授权启用,以便简化现有集群到新授权方案的转换.这个想法是第一个RBAC试图授权一个动作.如果失败,应将其记录在某处,然后咨询ABAC以允许该操作.这应该使群集管理员能够在最终关闭ABAC之前检查日志是否缺少RBAC权限.
我们有一些集群可以禁用GCP日志记录/监控,而是使用自己的ELK堆栈.为了确保我已经使用GCP的云记录和监控创建了一个测试集群,但仍然可以在任何地方找到任何RBAC事件.测试pod是一个prometheus服务器,可以发现并抓取其他pod和节点.
使这更全面.从 使用RBAC授权:
当日志级别为2或更高(--v = 2)运行时,您可以在apiserver日志中看到RBAC拒绝(以RBAC DENY为前缀:).
在GKE中,可以通过HTTP访问apiservers日志,如:
kubectl proxy &
curl -s http://localhost:8001/logs/kube-apiserver.log
| 归档时间: |
|
| 查看次数: |
768 次 |
| 最近记录: |