docker审计日志量过大影响磁盘IO如何解决?
问题描述
部分集群版本的存量节点docker审计日志量较大,由于操作系统内核缺陷,会低概率出现IO卡住。该问题可通过优化审计日志规则,降低问题出现的概率。
影响范围
受影响的集群版本:
- v1.15.11-r1
- v.1.17.9-r0
- 只需对已有节点进行修复,新建节点默认无此问题。
- 升级过程需要重启auditd组件。
检查方法
- 以root用户登录node节点。
- 执行以下命令检查当前节点是否存在该问题:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
如果有类似下图的回显,则说明存在该问题,需要进行修复,如果无回显则说明节点不受此问题影响。
解决方法
- 以root用户登录node节点。
- 执行如下命令:
sed -i "/\/var\/lib\/docker -k docker/d" /etc/audit/rules.d/docker.rules
service auditd restart
验证方法
执行以下命令检查问题是否修复:
auditctl -l | grep "/var/lib/docker -p rwxa -k docker"
如果无回显,则说明问题已修复。