在 k3s 集群中启用/配置审计日志（使用 k3d 设置集群）

Question

我目前正在尝试在 k3s 集群中启用和配置审计日志。 目前，我正在使用 k3d 来设置我的 k3s 集群。有没有办法配置审计日志？

我知道您可以在使用 k3d 创建集群时解析 k3s 服务器参数。所以，我试了一下：

k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log' --k3s-server-arg '--kube-apiserver-arg=audit-policy-file=/etc/kubernetes/audit-policies/policy.yaml'

明显的问题是集群中直到现在还没有审计策略。因此在创建集群时会崩溃。

也试过了，设置集群使用：

k3d cluster create test-cluster --k3s-server-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/apiserver/audit.log'

然后 ssh 到主节点，在想要的目录中创建策略文件，但是我找不到将集群变量 audit-log-path 设置为该目录的方法。因此，这些政策将不适用。

使用 minikube 执行此操作非常简单（因为它也已记录在案），但我无法让它与 k3d 一起使用 - 文档中也没有关于此的内容。 但我敢肯定，必须有一种方法可以在 k3s 上配置审计日志，而无需使用像 Falco 这样的第三方应用程序。

有人知道如何解决这个问题吗？或者想分享一些类似的经验？

Answer 1

我使用以下命令创建具有审计日志功能的集群。我使用卷为集群提供策略文件。我认为它需要同时设置审计策略文件和审计日志路径变量。

k3d cluster create test-cluster \\
  --k3s-arg '--kube-apiserver-arg=audit-policy-file=/var/lib/rancher/k3s/server/manifests/audit.yaml@server:*' \\
  --k3s-arg '--kube-apiserver-arg=audit-log-path=/var/log/kubernetes/audit/audit.log@server:*' \\
  --volume "$(pwd)/audit/audit.yaml:/var/lib/rancher/k3s/server/manifests/audit.yaml"