ここでkubernetesで監査をセットアップする方法について読んでいますが、これは基本的に、監査を有効にするには、フラグを使用して、起動時にkube-apiserverにyamlポリシーファイルを指定する必要があることを示しています--audit-policy-file。
さて、これを達成する方法について私が理解していないことが2つあります。
- kube-apiserver を実行するコマンドの起動パラメーターを追加/更新する適切な方法は何ですか? Pod を更新できないので、どうにかして Pod のクローンを作成する必要がありますか? または
kops edit cluster、ここで提案されているように使用する必要があります: https://github.com/kubernetes/kops/blob/master/docs/cluster_spec.md#kubeapiserver。驚いたことに、kubernetes はこのためのデプロイメントを作成しません。自分で作成する必要がありますか? - 特に監査をセットアップするには、スタートアップ引数として yaml ファイルを渡す必要があります。を作成するために、この yaml ファイルをアップロード/利用可能にするにはどうすればよいですか
--audit-policy-file=/some/path/my-audit-file.yaml。それやボリュームを使用して configMap を作成する必要がありますか? kube-apiserver 起動コマンドの実行時にファイルシステムで使用できるように、後でこのファイルを参照するにはどうすればよいですか?
ありがとう!