審計註解

本頁面作為 kubernetes.io 名稱空間下的審計註解的參考。

k8s.io/deprecated

示例:k8s.io/deprecated: "true"

值**必須**為 "true" 或 "false"。值為 "true" 表示請求使用了已棄用的 API 版本。

k8s.io/removed-release

示例:k8s.io/removed-release: "1.22"

值**必須**採用 "<MAJOR>.<MINOR>" 格式。它被設定為目標移除版本,用於針對具有目標移除版本的已棄用 API 版本的請求。

pod-security.kubernetes.io/exempt

示例:pod-security.kubernetes.io/exempt: namespace

值**必須**是 usernamespaceruntimeClass 之一,它們對應於Pod 安全豁免的維度。此註解指示豁免 PodSecurity 強制執行所依據的維度。

pod-security.kubernetes.io/enforce-policy

示例:pod-security.kubernetes.io/enforce-policy: restricted:latest

值**必須**是 privileged:<version>baseline:<version>restricted:<version>,它們對應於Pod 安全標準級別,並附帶一個版本,該版本**必須**是 latest 或格式為 v<MAJOR>.<MINOR> 的有效 Kubernetes 版本。此註解告知在 PodSecurity 准入期間允許或拒絕 Pod 的強制執行級別。

有關更多資訊,請參閱Pod 安全標準

pod-security.kubernetes.io/audit-violations

示例:pod-security.kubernetes.io/audit-violations: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "example" must set securityContext.allowPrivilegeEscalation=false), ...

值詳細說明了審計策略違規,它包含被違反的Pod 安全標準級別,以及從 PodSecurity 強制執行中違反的欄位上的特定策略。

有關更多資訊,請參閱Pod 安全標準

apiserver.latency.k8s.io/etcd

示例:apiserver.latency.k8s.io/etcd: "4.730661757s"

此註解指示儲存層內部發生的延遲度量,它計算向 etcd 傳送資料並獲得完整響應所需的時間。

此審計註解的值不包括准入或驗證中發生的時長。

apiserver.latency.k8s.io/decode-response-object

示例:apiserver.latency.k8s.io/decode-response-object: "450.6649ns"

此註解記錄瞭解碼從儲存層 (etcd) 接收到的響應所花費的時間。

apiserver.latency.k8s.io/apf-queue-wait

示例:apiserver.latency.k8s.io/apf-queue-wait: "100ns"

此註解記錄了請求因 API 伺服器優先順序而排隊等待的時間。

有關此機制的更多資訊,請參閱API 優先順序和公平性 (APF)。

authorization.k8s.io/decision

示例:authorization.k8s.io/decision: "forbid"

值必須是 **forbid** 或 **allow**。此註解指示請求在 Kubernetes 審計日誌中是否被授權。

有關更多資訊,請參閱審計

authorization.k8s.io/reason

示例:authorization.k8s.io/reason: "Human-readable reason for the decision"

此註解提供了 Kubernetes 審計日誌中決策的原因。

有關更多資訊,請參閱審計

missing-san.invalid-cert.kubernetes.io/$hostname

示例:missing-san.invalid-cert.kubernetes.io/example-svc.example-namespace.svc: "relies on a legacy Common Name field instead of the SAN extension for subject validation"

由 Kubernetes v1.24 及更高版本使用。

此註解表示 webhook 或聚合 API 伺服器正在使用缺少 subjectAltNames 的無效證書。對這些證書的支援在 Kubernetes 1.19 中預設停用,並在 Kubernetes 1.23 中移除。

使用這些證書的端點的請求將失敗。使用這些證書的服務應儘快替換它們,以避免在 Kubernetes 1.23+ 環境中執行時中斷。

Go 文件中有更多關於此的資訊:X.509 CommonName 棄用

insecure-sha1.invalid-cert.kubernetes.io/$hostname

示例:insecure-sha1.invalid-cert.kubernetes.io/example-svc.example-namespace.svc: "uses an insecure SHA-1 signature"

由 Kubernetes v1.24 及更高版本使用。

此註解表示 webhook 或聚合 API 伺服器正在使用使用 SHA-1 雜湊簽名的不安全證書。對這些不安全證書的支援在 Kubernetes 1.24 中預設停用,並將在未來版本中移除。

使用這些證書的服務應儘快替換它們,以確保連線得到正確保護並避免在未來版本中中斷。

Go 文件中有更多關於此的資訊:拒絕 SHA-1 證書

validation.policy.admission.k8s.io/validation_failure

示例:validation.policy.admission.k8s.io/validation_failure: '[{"message": "Invalid value", {"policy": "policy.example.com", {"binding": "policybinding.example.com", {"expressionIndex": "1", {"validationActions": ["Audit"]}]'

由 Kubernetes v1.27 及更高版本使用。

此註解表示准入策略驗證對 API 請求評估為 false,或者當策略配置為 failurePolicy: Fail 時,驗證導致錯誤。

註解的值是一個 JSON 物件。JSON 中的 message 提供了有關驗證失敗的訊息。

JSON 中的 policybindingexpressionIndex 分別標識 ValidatingAdmissionPolicy 的名稱、ValidatingAdmissionPolicyBinding 的名稱以及策略 validations 中失敗的 CEL 表示式的索引。

validationActions 顯示了對此次驗證失敗採取了哪些操作。有關 validationActions 的更多詳細資訊,請參閱驗證准入策略

最後修改於 2025 年 1 月 30 日晚上 11:13 PST:根據審查進行編輯 (36e798b229)