本文档介绍如何查看 Binary Authorization for GKE 集群生成的日志条目。这些条目可用于排查系统设置和使用问题。
本文档介绍如何使用 Cloud Audit Logs 来查询日志条目。您还可以通过 Cloud Audit Logs API 来查询日志条目。
查看 Cloud Audit Logs 条目
在 Google Cloud 控制台中,转到 Cloud Audit Logs 页面。
选择您在用户集群配置文件的
cloudAuditLogging部分中配置的 Google Cloud 项目。输入过滤条件。您可以在以下部分中找到适用于 Binary Authorization for GKE 集群日志条目的示例过滤条件。
选择活动日志:
选择日志名称组合框。
在文本框中输入
externalaudit.googleapis.com。选择名为
externalaudit.googleapis.com的日志。点击添加。
确保选择事件发生的时间段。
点击运行查询。
查看被拒绝的 Deployment 日志条目
如需查找拒绝的 Deployment 的 Cloud Audit Logs 条目,请使用以下查询:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
查看试运行日志条目
如需查找与启用试运行模式时进行的 Pod 创建或更新操作相关的 Cloud Audit Logs 条目,请使用以下查询:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
labels."binaryauthorization.googleapis.com/dry-run"="true"
查看 Breakglass 日志条目
如需查找与启用 Breakglass 的 Pod 创建或更新相关的 Cloud Audit Logs 条目,请使用以下查询:
resource.type="k8s_cluster"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
(labels."binaryauthorization.googleapis.com/break-glass"="true" OR
protoPayload.request.metadata.labels."image-policy.k8s.io/break-glass"="true")