:::important 重要提示 RKE add-on 安装仅支持 Rancher v2.0.8 之前的版本。 请使用 Rancher helm chart 将 Rancher 安装在 Kubernetes 集群上。有关详细信息,请参见Rancher 高可用安装。 如果您当前正在使用 RKE add-on 安装方法,参见将 RKE add-on 安装的 Rancher 迁移到 Helm 安装,获取有关如何使用 Helm chart 的详细信息。 :::

如果使用 RKE 安装 Rancher,则可以使用指令为 Rancher 安装启用 API 审计日志。您可以知道容器中发生了什么事件,何时发生,事件发起人是谁以及它影响了哪些集群。API 审计日志记录了与 Rancher API 之间的所有请求和响应,包括对 Rancher UI 的使用以及通过程序使用对 Rancher API 的任何其他使用。

内联参数

通过向 Rancher 容器添加参数来使用 RKE 启用 API 审计日志。

启用 API 审计日志的的先决条件如下:

  • 将 API 审计日志 参数 (args) 添加到 Rancher 容器中。
  • 在容器的 volumeMounts 指令中声明一个 mountPath
  • volumes 指令中声明一个 path

有关每个参数的说明、使用参数的语法以及如何查看 API 审计日志的更多信息,请参阅Rancher v2.0 文档:API 审计日志

  1. ...
  2. containers:
  3. - image: rancher/rancher:latest
  4. imagePullPolicy: Always
  5. name: cattle-server
  6. args: ["--audit-log-path", "/var/log/auditlog/rancher-api-audit.log", "--audit-log-maxbackup", "5", "--audit-log-maxsize", "50", "--audit-level", "2"]
  7. ports:
  8. - containerPort: 80
  9. protocol: TCP
  10. - containerPort: 443
  11. protocol: TCP
  12. volumeMounts:
  13. - mountPath: /etc/rancher/ssl
  14. name: cattle-keys-volume
  15. readOnly: true
  16. - mountPath: /var/log/auditlog
  17. name: audit-log-dir
  18. volumes:
  19. - name: cattle-keys-volume
  20. secret:
  21. defaultMode: 420
  22. secretName: cattle-keys-server
  23. - name: audit-log-dir
  24. hostPath:
  25. path: /var/log/rancher/auditlog
  26. type: Directory