7.2. 감사 로그 정책 구성

API 서버로 들어오는 요청을 기록할 때 사용할 감사 로그 정책을 구성할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. APIServer 리소스를 편집합니다.

    $ oc edit apiserver cluster
  2. spec.audit.profile 필드를 업데이트합니다.

      apiVersion: config.openshift.io/v1
      kind: APIServer
      metadata:
      ...
      spec:
        audit:
          profile: WriteRequestBodies 1
    1
    Default, WriteRequestBodies 또는 AllRequestBodies로 설정합니다. 기본 프로필은 Default입니다.
  3. 파일을 저장하여 변경 사항을 적용합니다.
  4. Kubernetes API 서버 Pod의 새 버전이 출시되었는지 확인합니다. 이 작업에는 몇 분 정도 걸립니다.

    $ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'

    Kubernetes API 서버의 NodeInstallerProgressing 상태 조건을 검토하여 모든 노드가 최신 버전인지 확인합니다. 업데이트가 성공적으로 실행되면 출력에 AllNodesAtLatestRevision이 표시됩니다.

    AllNodesAtLatestRevision
    3 nodes are at revision 12 1
    1
    이 예에서 최신 버전 번호는 12 입니다.

    출력에 다음 중 하나와 유사한 메시지가 표시되면 업데이트가 아직 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.

    • 노드 3개가 버전 11입니다. 노드 0개에서 새 버전 12를 사용합니다.
    • 노드 2개가 버전 11입니다. 노드 1개가 버전 12입니다.