审计

Kubernetes **审计（Auditing）** 提供了一组与安全相关的、按时间顺序排列的记录，用于记录集群中的操作序列。集群审计由用户、使用 Kubernetes API 的应用以及控制平面本身生成的活动。

审计使得集群管理员可以回答以下问题：

• 发生了什么？
• 何时发生？
• 谁发起的？
• 对什么发生的？
• 在何处被观察到？
• 从何处发起的？
• 发送给了谁？

审计记录的生命周期始于 kube-apiserver 组件内部。请求在其执行的每个阶段都会生成一个审计事件，然后根据特定策略对其进行预处理并写入后端。策略决定了哪些内容被记录，后端负责持久化记录。当前的后端实现包括日志文件和 Webhook。

每个请求都可以记录关联的**阶段（stage）**。定义的阶段如下：

• RequestReceived - 审计处理器收到请求后立即生成事件的阶段，在请求被委托到处理链下游之前。
• ResponseStarted - 一旦发送了响应头，但在发送响应体之前。此阶段仅针对长时间运行的请求（例如 watch）生成。
• ResponseComplete - 响应体已完成，不再发送字节。
• Panic - 发生 Panic 时生成的事件。

审计日志功能会增加 API 服务器的内存消耗，因为审计所需的一些上下文信息会存储在每个请求中。内存消耗取决于审计日志的配置。

审计策略

审计策略定义了关于应记录哪些事件以及应包含哪些数据的规则。审计策略对象的结构在 audit.k8s.io API 组 中定义。处理事件时，会按顺序将其与规则列表进行比较。第一个匹配的规则会设置事件的**审计级别（audit level）**。定义的审计级别如下：

• None - 不记录匹配此规则的事件。
• Metadata - 记录带有元数据（请求用户、时间戳、资源、动词等）的事件，但不记录请求或响应体。
• Request - 记录带有请求元数据和请求体的事件，但不记录响应体。这不适用于非资源请求。
• RequestResponse - 记录带有请求元数据、请求体和响应体的事件。这不适用于非资源请求。

你可以使用 --audit-policy-file 标志将包含策略的文件传递给 kube-apiserver。如果省略此标志，则不记录任何事件。请注意，审计策略文件中必须提供 rules 字段。规则为零 (0) 的策略被视为非法。

下面是一个审计策略示例文件：

audit/audit-policy.yaml

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    resources:
    - group: ""
      # Resource "pods" doesn't match requests to any subresource of pods,
      # which is consistent with the RBAC policy.
      resources: ["pods"]
  # Log "pods/log", "pods/status" at Metadata level
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]

  # Don't log requests to a configmap called "controller-leader"
  - level: None
    resources:
    - group: ""
      resources: ["configmaps"]
      resourceNames: ["controller-leader"]

  # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API group
      resources: ["endpoints", "services"]

  # Don't log authenticated requests to certain non-resource URL paths.
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*" # Wildcard matching.
    - "/version"

  # Log the request body of configmap changes in kube-system.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["configmaps"]
    # This rule only applies to resources in the "kube-system" namespace.
    # The empty string "" can be used to select non-namespaced resources.
    namespaces: ["kube-system"]

  # Log configmap and secret changes in all other namespaces at the Metadata level.
  - level: Metadata
    resources:
    - group: "" # core API group
      resources: ["secrets", "configmaps"]

  # Log all other resources in core and extensions at the Request level.
  - level: Request
    resources:
    - group: "" # core API group
    - group: "extensions" # Version of group should NOT be included.

  # A catch-all rule to log all other requests at the Metadata level.
  - level: Metadata
    # Long-running requests like watches that fall under this rule will not
    # generate an audit event in RequestReceived.
    omitStages:
      - "RequestReceived"

你可以使用一个最小的审计策略文件来以 Metadata 级别记录所有请求：

# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata

如果你正在编写自己的审计配置文件，可以使用 Google Container-Optimized OS 的审计配置文件作为起点。你可以查看生成审计策略文件的 configure-helper.sh 脚本。你可以直接查看脚本来了解大部分审计策略文件的内容。

你也可以参考 Policy 配置参考，了解所定义字段的详细信息。

审计后端

审计后端将审计事件持久化到外部存储。开箱即用地，kube-apiserver 提供两种后端：

• Log 后端，将事件写入文件系统
• Webhook 后端，将事件发送到外部 HTTP API

在所有情况下，审计事件都遵循由 Kubernetes API 在 audit.k8s.io API 组 中定义的结构。

[
  {
    "op": "replace",
    "path": "/spec/parallelism",
    "value": 0
  },
  {
    "op": "remove",
    "path": "/spec/template/spec/containers/0/terminationMessagePolicy"
  }
]

Log 后端

Log 后端将审计事件以 JSONlines 格式写入文件。你可以使用以下 kube-apiserver 标志配置日志审计后端：

• --audit-log-path 指定 Log 后端写入审计事件的日志文件路径。不指定此标志会禁用 Log 后端。- 表示标准输出。
• --audit-log-maxage 定义保留旧审计日志文件的最大天数。
• --audit-log-maxbackup 定义要保留的审计日志文件的最大数量。
• --audit-log-maxsize 定义审计日志文件在轮转（Rotate）前的最大大小（以 MB 为单位）。

如果你集群的控制平面将 kube-apiserver 作为 Pod 运行，请记住将 hostPath 挂载到策略文件和日志文件所在的位置，以便审计记录能够持久化。例如：

  - --audit-policy-file=/etc/kubernetes/audit-policy.yaml
  - --audit-log-path=/var/log/kubernetes/audit/audit.log

然后挂载卷：

...
volumeMounts:
  - mountPath: /etc/kubernetes/audit-policy.yaml
    name: audit
    readOnly: true
  - mountPath: /var/log/kubernetes/audit/
    name: audit-log
    readOnly: false

最后配置 hostPath：

...
volumes:
- name: audit
  hostPath:
    path: /etc/kubernetes/audit-policy.yaml
    type: File

- name: audit-log
  hostPath:
    path: /var/log/kubernetes/audit/
    type: DirectoryOrCreate

Webhook 后端

Webhook 审计后端将审计事件发送到远程 Web API，该 API 被认为是 Kubernetes API 的一种形式，包括认证方式。你可以使用以下 kube-apiserver 标志配置 Webhook 审计后端：

• --audit-webhook-config-file 指定包含 Webhook 配置的文件的路径。Webhook 配置实际上是一种特殊的 kubeconfig。
• --audit-webhook-initial-backoff 指定首次请求失败后重试前等待的时间。随后的请求将使用指数退避（Exponential Backoff）重试。

Webhook 配置文件使用 kubeconfig 格式指定服务的远程地址以及用于连接的凭据。

事件批处理

Log 和 Webhook 后端都支持批处理。以 Webhook 为例，以下是可用标志列表。要获取 Log 后端的相应标志，请在标志名称中将 webhook 替换为 log。默认情况下，webhook 启用批处理，log 禁用批处理。类似地，默认情况下，webhook 启用限流，log 禁用限流。

• --audit-webhook-mode 定义缓冲策略。选项包括：
  • batch - 缓冲事件并以异步方式批量处理。这是默认设置。
  • blocking - 在处理每个事件时阻塞 API 服务器的响应。
  • blocking-strict - 与 blocking 类似，但当在 RequestReceived 阶段进行审计日志记录失败时，整个对 kube-apiserver 的请求都将失败。

以下标志仅在 batch 模式下使用：

• --audit-webhook-batch-buffer-size 定义在批处理前缓冲的事件数量。如果入站事件速率超出缓冲区容量，则事件会被丢弃。
• --audit-webhook-batch-max-size 定义一个批处理中事件的最大数量。
• --audit-webhook-batch-max-wait 定义在无条件地将队列中的事件进行批处理前等待的最大时间。
• --audit-webhook-batch-throttle-qps 定义每秒生成批处理的最大平均数量。
• --audit-webhook-batch-throttle-burst 定义如果在之前 QPS 未被充分利用的情况下，在同一时刻可以生成的最大批处理数量。

参数调优

应设置参数以适应 API 服务器的负载。

例如，如果 kube-apiserver 每秒接收 100 个请求，并且每个请求仅在 ResponseStarted 和 ResponseComplete 阶段被审计，你应该考虑到每秒会生成约 200 个审计事件。假设一个批处理最多包含 100 个事件，你应该将限流级别设置为至少每秒 2 个查询。假设后端最多需要 5 秒来写入事件，你应该将缓冲区大小设置为可以容纳 5 秒的事件；即：10 个批处理，或 1000 个事件。

然而，在大多数情况下，默认参数应该足够，你无需担心手动设置它们。你可以查看 kube-apiserver 暴露的以下 Prometheus 指标以及日志来监控审计子系统的状态。

• apiserver_audit_event_total 指标包含已导出的审计事件总数。
• apiserver_audit_error_total 指标包含由于导出期间发生错误而丢弃的事件总数。

日志条目截断

Log 和 Webhook 后端都支持限制记录事件的大小。例如，以下是 Log 后端的可用标志列表：

• audit-log-truncate-enabled 是否启用事件和批处理截断。
• audit-log-truncate-max-batch-size 发送到底层后端的批处理的最大大小（以字节为单位）。
• audit-log-truncate-max-event-size 发送到底层后端的审计事件的最大大小（以字节为单位）。

默认情况下，webhook 和 log 都禁用截断功能，集群管理员应设置 audit-log-truncate-enabled 或 audit-webhook-truncate-enabled 来启用此功能。

下一步

• 了解变更 Webhook 审计注解（Mutating webhook auditing annotations）。
• 通过阅读审计配置参考，了解更多关于 Event 和 Policy 资源类型的信息。