Телеграмм чат группы kubernetes

А вот это не подскажу, сорри. Я audit не настраивал.

спс

14:38пожаловаться #1

k

Сергей Ладутько

Я вообще от этих юзеров не чего не видеть
- level: None
users:
- system:kube-controller-manager
- system:kube-scheduler
- system:serviceaccount:kube-system:endpoint-controller

Вот такой конструкции будет достаточно ?

А что ты конфигуришь такое вообще?

14:41пожаловаться #2

k

Попробуй ['*']

14:41пожаловаться #3

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

А что ты конфигуришь такое вообще?

Я хочу в этом файле видеть только логи кто выполнил команду с кластером
из пользователей

14:41пожаловаться #4

k

Сергей Ладутько

Я хочу в этом файле видеть только логи кто выполнил команду с кластером
из пользователей

Что за файл-то, я чёт не слышал что куб в аудит-лог из коробки умеет

14:42пожаловаться #5

k

@distol, говорил что они вообще apiserver патчат для этого дела

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество

14:43пожаловаться #6

AK

@distol, говорил что они вообще apiserver патчат для этого дела

Умеет, конечно.

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество

14:43пожаловаться #7

AK

Мы просто флаги выставляем и всё.

14:44пожаловаться #8

k

Умеет, конечно.

А патчите зачем тогда?

Banschikov Denis in Kubernetes — русскоговорящее сообщество

14:44пожаловаться #9

BD

Там же через api-server вроде

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество

14:44пожаловаться #10

AK

А патчите зачем тогда?

О сертификатах старых оповещать подробно.

14:44пожаловаться #11

k

О сертификатах старых оповещать подробно.

Клиентских?

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество

14:44пожаловаться #12

AK

Клиентских?

Да.

14:44пожаловаться #13

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

Что за файл-то, я чёт не слышал что куб в аудит-лог из коробки умеет

Я может не так понял как это работет , я думал что он пишет логи кто что делал в кластере , но мне не надо следить что сделал etcd а только мои пользователи

Banschikov Denis in Kubernetes — русскоговорящее сообщество

14:45пожаловаться #14

BD

Сергей Ладутько

Я может не так понял как это работет , я думал что он пишет логи кто что делал в кластере , но мне не надо следить что сделал etcd а только мои пользователи

Я как понимаю ты это настраиваешь?
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

Kubernetes

Auditing

Kubernetes auditing provides a security-relevant chronological set of records documenting the sequence of activities that have affected system by individual users, administrators or other components of the system. It allows cluster administrator to answer the following questions:
what happened? when did it happen? who initiated it? on what did it happen? where was it observed? from where was it initiated? to where was it going? Audit records begin their lifecycle inside the kube-apiserver component.

Kubernetes auditing provides a security-relevant chronological set of records documenting the sequence of activities that have affected system by individual users, administrators or other components of the system. It allows cluster administrator to answer the following questions:
what happened? when did it happen? who initiated it? on what did it happen? where was it observed? from where was it initiated? to where was it going? Audit records begin their lifecycle inside the kube-apiserver component.

14:45пожаловаться #15

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

Banschikov Denis

Я как понимаю ты это настраиваешь?
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

Kubernetes

Auditing

Типо того

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество

14:45пожаловаться #16

AK

Сергей Ладутько

Я может не так понял как это работет , я думал что он пишет логи кто что делал в кластере , но мне не надо следить что сделал etcd а только мои пользователи

В статье, вроде, хороший Policy приведён. И отфильтрованы все системные вещи.
https://medium.com/faun/kubernetes-on-premise-cluster-auditing-eb8ff848fec4

Medium

Kubernetes on-premise cluster auditing.

For kubeadm made clusters only.

14:46пожаловаться #17

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

Kubernetes on-premise cluster auditing.

В статье, вроде, хороший Policy приведён. И отфильтрованы все системные вещи.
https://medium.com/faun/kubernetes-on-premise-cluster-auditing-eb8ff848fec4

Medium

For kubeadm made clusters only.

apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
  # Do not log from kube-system accounts
  - level: None
    userGroups:
    - system:serviceaccounts:kube-system
  - level: None
    users:
    - system:apiserver
    - system:kube-scheduler
    - system:volume-scheduler
    - system:kube-controller-manager
    - system:node

  # Do not log from collector
  - level: None
    users:
    - system:serviceaccount:collectorforkubernetes:collectorforkubernetes

  # Don't log nodes communications
  - level: None
    userGroups:
    - system:nodes

  # Don't log these read-only URLs.
  - level: None
    nonResourceURLs:
    - /healthz*
    - /version
    - /swagger*

  # Log configmap and secret changes in all namespaces at the metadata level.
  - level: Metadata
    resources:
    - resources: ["secrets", "configmaps"]

  # A catch-all rule to log all other requests at the request level.
  - level: Request

В последней строчки лучше наверное metadata поставить ?

14:48пожаловаться #18

k

Сергей Ладутько

Я вообще от этих юзеров не чего не видеть
- level: None
users:
- system:kube-controller-manager
- system:kube-scheduler
- system:serviceaccount:kube-system:endpoint-controller

Вот такой конструкции будет достаточно ?

А ты уверен что они у тебя такой CN имеют?

George Gaál in Kubernetes — русскоговорящее сообщество

14:53пожаловаться #19

GG

Сергей Ладутько

apiVersion: audit.k8s.io/v1beta1
kind: Policy
rules:
  # Do not log from kube-system accounts
  - level: None
    userGroups:
    - system:serviceaccounts:kube-system
  - level: None
    users:
    - system:apiserver
    - system:kube-scheduler
    - system:volume-scheduler
    - system:kube-controller-manager
    - system:node

  # Do not log from collector
  - level: None
    users:
    - system:serviceaccount:collectorforkubernetes:collectorforkubernetes

  # Don't log nodes communications
  - level: None
    userGroups:
    - system:nodes

  # Don't log these read-only URLs.
  - level: None
    nonResourceURLs:
    - /healthz*
    - /version
    - /swagger*

  # Log configmap and secret changes in all namespaces at the metadata level.
  - level: Metadata
    resources:
    - resources: ["secrets", "configmaps"]

  # A catch-all rule to log all other requests at the request level.
  - level: Request

В последней строчки лучше наверное metadata поставить ?

круто сделал