Kubernetes: 如何查看哪些用户使用本地证书连接了 API Server

在 Kubernetes 中，可以通过查看 kube-apiserver 的审计日志来了解哪些用户使用了本地证书连接到 apiserver 服务器。可以按照以下步骤进行操作：\n\n1. 首先，确定 kube-apiserver 的审计日志配置是否已启用。可以通过检查 kube-apiserver 的启动参数或配置文件来确认是否启用了审计日志。通常，审计日志的配置文件位于 /etc/kubernetes/audit/audit-policy.yaml。\n\n2. 打开 kube-apiserver 的审计日志文件，通常位于 /var/log/kubernetes/audit/audit.log。使用以下命令查看日志文件：\n\n \n sudo less /var/log/kubernetes/audit/audit.log\n \n\n3. 在日志文件中，可以查找包含 ""verb":"create"" 或 ""verb":"update"" 的日志条目。这些条目表示用户已经使用本地证书进行了创建或更新操作。\n\n4. 在日志条目中，可以查找 ""user.username"" 字段以查看使用本地证书的用户名。例如：\n\n \n {\n \"kind\": \"Event\",\n \"apiVersion\": \"audit.k8s.io/v1\",\n \"metadata\": {\n \"creationTimestamp\": \"2021-01-01T00:00:00Z\",\n \"annotations\": {\n ...\n }\n },\n \"level\": \"Metadata\",\n \"timestamp\": \"2021-01-01T00:00:00Z\",\n \"auditID\": \"12345678-1234-1234-1234-1234567890ab\",\n \"stage\": \"ResponseComplete\",\n \"requestURI\": \"/api/v1/namespaces/default/pods\",\n \"verb\": \"create\",\n \"user\": {\n \"username\": \"john.doe\"\n },\n ...\n }\n \n\n 在上面的示例中，用户名为 "john.doe"。\n\n通过以上步骤，你可以查看有哪些用户使用了本地证书连接到 apiserver 服务器，并查看他们执行的操作。请注意，确保对 audit 日志文件具有适当的访问权限。