10.2. 配置审计日志策略
您可以配置审计日志策略,使其在记录 API 服务器的请求时使用。
先决条件
-
您可以使用具有
cluster-admin
角色的用户访问集群。
流程
编辑
APIServer
资源:$ oc edit apiserver cluster
更新
spec.audit.profile
字段:apiVersion: config.openshift.io/v1 kind: APIServer metadata: ... spec: audit: profile: WriteRequestBodies 1
- 1
- 设置为
Default
、WriteRequestBodies
、AllRequestBodies
或None
。默认配置集为Default
。
警告不建议使用
None
配置集禁用审计日志记录,除非您完全意识到在对问题进行故障排除时无法记录数据的风险。如果禁用审计日志记录且出现支持情况,您可能需要启用审计日志记录并重现问题,才能正确排除故障。- 保存文件以使改变生效。
验证
验证是否已推出 Kubernetes API 服务器 pod 的新修订版本。所有节点更新至新修订版本可能需要几分钟时间。
$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'
查看 Kubernetes API 服务器的
NodeInstallerProgressing
状态条件,以验证所有节点是否处于最新的修订版本。在更新成功后,输出会显示AllNodesAtLatestRevision
:AllNodesAtLatestRevision 3 nodes are at revision 12 1
- 1
- 在本例中,最新的修订版本号为
12
。
如果输出显示的信息类似于以下消息之一,则更新仍在进行中。等待几分钟后重试。
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12
-
2 nodes are at revision 11; 1 nodes are at revision 12