等待 pod：apiserver 卡住

Question

我正在尝试实施审核政策 我的yaml

~/.minikube/addons$ cat audit-policy.yaml 
# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
- level: Metadata

Pod 卡住了

minikube start  --extra-config=apiserver.Authorization.Mode=RBAC --extra-config=apiserver.Audit.LogOptions.Path=/var/logs/audit.log   --extra-config=apiserver.Audit.PolicyFile=/etc/kubernetes/addons/audit-policy.yaml
????  minikube v0.35.0 on linux (amd64)
????  Tip: Use 'minikube start -p <name>' to create a new cluster, or 'minikube delete' to delete this one.
????  Restarting existing virtualbox VM for "minikube" ...
⌛  Waiting for SSH access ...
????  "minikube" IP address is 192.168.99.101
????  Configuring Docker as the container runtime ...
✨  Preparing Kubernetes environment ...
    ▪ apiserver.Authorization.Mode=RBAC
    ▪ apiserver.Audit.LogOptions.Path=/var/logs/audit.log
    ▪ apiserver.Audit.PolicyFile=/etc/kubernetes/addons/audit-policy.yaml
????  Pulling images required by Kubernetes v1.13.4 ...
????  Relaunching Kubernetes v1.13.4 using kubeadm ... 
⌛  Waiting for pods: apiserver

为什么？

我能做到

minkub start

然后我去 minikube ssh

$ sudo bash
$ cd /var/logs
bash: cd: /var/logs: No such file or directory
ls
cache  empty  lib  lock  log  run  spool  tmp

如何应用额外配置？

Answer 1

我没有好消息。尽管您在/var/logs 上犯了一些错误，但在这种情况下并不重要，因为似乎没有办法在 Minikube 中实施审计策略（我的意思是，至少有几种方法，但它们似乎都失败了）。

您可以尝试 GitHub 问题和我将提供的其他链接中介绍的几种方法，但我可能尝试了所有方法，但它们不适用于当前的 Minikube 版本。您可能会尝试使用早期版本进行这项工作，因为在某些时候，您在问题中提供的方式似乎是可能的，但就目前而言，在更新版本中并非如此。无论如何，我花了一些时间从链接和我自己的一些想法中尝试方法，但没有成功，也许你能找到缺失的部分。

您可以在此文档中找到更多信息：

Audit Logfile Not Created

Service Accounts and Auditing in Kubernetes

fails with -extra-config=apiserver.authorization-mode=RBAC and audit logging: timed out waiting for kube-proxy

How do I enable an audit log on minikube?

Enable Advanced Auditing Webhook Backend Configuration