バージョン 1.0。このバージョンは、Anthos バージョンサポートポリシーに記載のとおり、サポートを終了しています。Anthos clusters on VMware (GKE on-prem) に影響するセキュリティの脆弱性、露出、問題に対する最新のパッチとアップデートを適用するには、サポート対象のバージョンにアップグレードしてください。最新バージョンはこちらで確認できます。

利用可能なバージョン

監査ロギング

このページでは、Kubernetes apiserver の監査ログにアクセスする方法について説明します。

概要

GKE On-Prem クラスタでは Kubernetes Audit Logging を使用して、クラスタの Kubernetes API サーバーに対して行われた呼び出しを時系列でログに記録します。監査ログは、不審な API リクエストの調査や統計情報の収集に役立ちます。

各 API サーバーからの監査ログは永続ディスクにダンプされるため、VM の再起動やアップグレードによってログが消えることはありません。GKE On-Prem では 10 GB までの監査ログが保持されます。

Kubernetes 監査ログへのアクセス

監査ログにアクセスできるのは管理クラスタのみです。

以下にクラスタで実行されている Kubernetes API サーバーを表示します。
```
kubectl get pods --all-namespaces -l component=kube-apiserver
```
API サーバーの監査ログをダウンロードします。
```
kubectl cp -n [NAMESPACE] [APISERVER_POD_NAME]:/var/log/kube-audit/kube-apiserver-audit.log /tmp/kubeaudit.log
```
このコマンドは、最新のログファイルを取得します。このログファイルには、管理クラスタの場合は最大 1 GB、ユーザークラスタの場合は最大 850 GB が含まれます。

古い監査記録は別のファイルに保存されます。これらのファイルを表示するには:
```
kubectl exec -n [NAMESPACE] [APISERVER_POD_NAME] -- ls /var/log/kube-audit -la
```
各監査ログのファイル名には、ファイルがローテーションされた日時を示すタイムスタンプがあります。ファイルには、その日時までの監査ログが含まれています。

監査ポリシー

監査ロギングの動作は、静的に構成された Kubernetes 監査ロギングポリシーによって決まります。現在、このポリシーは変更できません。

OIDC と ADFS による認証