GKEはRBAC許可イベントをどこに記録しますか?GKE kubernetesクラスタでABACからRBACへの移行をデバッグする方法は?
kubernetesバージョンv1.6のGoogle Container Engine(GKE)クラスタでは、デフォルトでRBAC認証が有効になります。 ABACは、既存のクラスタの新しい承認スキームへの移行を容易にするために、フォールバック認可としても有効になっているようです。最初のRBACがアクションを承認しようとしているという考え方です。 これがに失敗した場合は、のどこかにと記録され、その後、ABACに相談してアクションを許可する必要があります。これにより、クラスタ管理者は、最後にABACをオフにする前に、不足しているRBACアクセス権をログで調べることができます。
GCPのロギングとモニタリングを無効にするクラスタがあり、代わりに独自のELKスタックを使用しています。 GCPのクラウドロギングと監視を使用してテストクラスタを作成したことを確認するだけで、どこでもRBACイベントを見つけることができます。テストポッドは、他のポッドやノードを発見して掬い取るプロメテウスサーバーです。