简介:TG@luotuoemo
本文由阿里云代理商【聚搜云】撰写
1. 启用容器内部操作审计功能
容器内部操作审计功能可以记录容器内执行的命令和操作,帮助追踪异常行为。
-
安装组件:
- 登录容器服务管理控制台,选择目标集群。
- 在组件管理页面,安装
logtail-ds
和ack-advanced-audit
组件。
-
查看审计报表:
- 登录日志服务控制台,选择集群使用的日志Project。
- 查看
Kubernetes容器内部操作审计
报表,包括进入容器的次数、执行命令列表等。
2. 查看详细日志记录
通过审计报表或日志库页面查看详细的日志记录:
- 审计报表页面:查看最近的单个事件日志。
- 日志库页面:通过查询语句(如
* and k8s.pod.namespace: <namespace> and k8s.pod.name: <pod_name>
)查看特定Pod的操作日志。
3. 配置操作审计告警
通过日志服务的告警功能,配置容器操作的实时告警:
- 登录日志服务控制台,进入告警中心。
- 创建Webhook(如钉钉机器人),配置告警通知。
4. 实时监控集群异常事件
使用ack-node-problem-detector
结合日志服务(SLS)监控集群的异常事件:
- 安装
ack-node-problem-detector
组件。 - 配置日志服务的Kubernetes事件中心,实时汇聚集群事件并进行分析。
5. 利用操作审计元数据
Kubernetes审计日志中包含的注释(如authorization.k8s.io/decision
和authorization.k8s.io/reason
)可以帮助分析API调用的授权情况。
6. 监控容器镜像服务的审计事件
通过操作审计(ActionTrail)记录容器镜像服务的操作事件,如镜像扫描、仓库更新等。