Les journaux d'audit de kube-apiserver sur Google Container Engine

Question

J'essaie de configurer l'alerte en cas de tentatives de connexion infructueuses au moteur Kubernetes sur Google Container Engine. Comme nous savons master géré par Google, la seule façon d'obtenir des journaux est de les récupérer à partir d'API.

J'ai donc un accès à Kubernetes api en utilisant kubectl proxy, puis essayé d'accéder à /logs/kube-apiserver-audit.log. Il s'avère que ce fichier est vide malgré le fait que /logs/kube-apiserver.log se remplit avec les journaux apiserver.

Existe-t-il un autre moyen de récupérer les journaux d'audit à partir du cluster Google Container Engine? Ou peut-être que je devrais activer le journal d'audit en quelque sorte?

Answer 1

Actuellement, il n'existe aucun moyen d'exporter ces journaux. Le seul journal disponible pour le serveur API sur GKE est /logs/kube-apiserver.log comme vous l'avez mentionné.

Je m'attends à ce que cela arrive dans une version de fonctionnalité bientôt (il y en a assez de nous poser des questions à ce sujet)