11.4. 禁用审计日志
您可以为 OpenShift Container Platform 禁用审计日志记录。当您禁用审计日志记录时,即使 OAuth 访问令牌请求和 OAuth 授权令牌请求也不会记录。
警告
不建议使用 None 配置集禁用审计日志记录,除非您完全意识到在对问题进行故障排除时无法记录数据的风险。如果禁用审计日志记录且出现支持情况,您可能需要启用审计日志记录并重现问题,才能正确排除故障。
先决条件
-
您可以使用具有
cluster-admin角色的用户访问集群。
流程
编辑
APIServer资源:$ oc edit apiserver cluster
将
spec.audit.profile字段设置为None:apiVersion: config.openshift.io/v1 kind: APIServer metadata: ... spec: audit: profile: None注意您还可以通过在
spec.audit.customRules字段中指定自定义规则,只为特定组禁用审计日志记录。- 保存文件以使改变生效。
验证
验证是否已推出 Kubernetes API 服务器 pod 的新修订版本。所有节点更新至新修订版本可能需要几分钟时间。
$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'查看 Kubernetes API 服务器的
NodeInstallerProgressing状态条件,以验证所有节点是否处于最新的修订版本。在更新成功后,输出会显示AllNodesAtLatestRevision:AllNodesAtLatestRevision 3 nodes are at revision 12 1- 1
- 在本例中,最新的修订版本号为
12。
如果输出显示的信息类似于以下消息之一,则更新仍在进行中。等待几分钟后重试。
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
