kubernetes 在请求计数器度量中记录401 Unauthorized(未授权)

bvjveswy  于 2022-10-29  发布在  Kubernetes
关注(0)|答案(2)|浏览(192)

/签名api-机械
/sig检测
/种类功能
@kubernetes/sig-api-机械-杂项@逻辑

您希望添加什么内容

当前,authn作为过滤器处理程序工作,在单独实现资源API之前执行。但是,apiserver_request_total度量是在执行这些过滤器处理程序之后记录的。这使得我们永远不会记录任何401 Unauthorized位。
考虑将apiserver_request_total等常用的度量提升为专用的过滤器处理器,使其在authn过滤器之前工作,这样我们就可以观察到那些401请求的发生。我能想到的记录401的利弊是:

优点

  • 提醒集群管理员证书已过期
  • 提醒群集管理员可能存在不正确的外部签名者设置

缺点:

  • 401请求可能是由垃圾邮件“不友好”客户端发送的,记录它们可能会压倒正常的请求。
  • 记录等待时间(以及请求的其他维度)可能是无用的,并且还在API服务器处造成不必要的性能损失。
  • 在某种意义上,可以认为这些认证的请求在API服务器的范围之外,
goqiplq2

goqiplq22#

@fejta-bot:关闭此问题。
对此的回应是:
腐烂问题在30天不活动后关闭。
使用/reopen重新打开问题。
使用/remove-lifecycle rotten将问题标记为新问题。
请将反馈发送至sig-testing、kubernetes/test-infra和/或fejta
/关闭
here提供了使用PR评论与我进行交互的说明。如果您对我的行为有任何问题或建议,请向kubernetes/test-infra存储库提交问题。

相关问题