本文介绍K8s流量安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现K8s流量安全问题。

告警规则列表

支持的告警规则如下所示。设置告警参数、设置白名单等相关操作,请参见管理告警规则

K8s Ingress后端平均响应延迟过高告警

告警ID sls_app_audit_dataflow_at_ingress_resp
告警名称 K8s Ingress后端平均响应延迟过高告警
版本号 1
类别 云平台、阿里云、流量安全、K8s流量安全
作用 监控K8s Ingress的后端平均响应延迟。当K8s Ingress后端平均响应延迟高于指定阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 后端平均响应延迟阈值:K8s Ingress后端平均响应延迟的阈值,默认值为500毫秒。如果2分钟内K8s Ingress的后端平均响应延迟高于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:需要监控的K8s集群名称。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下所有的K8s集群名称。
外部配置
消除办法 检查触发告警的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes Ingress访问日志的开关。

K8s Ingress平均请求延迟过高告警

告警ID sls_app_audit_dataflow_at_ingress_latency
告警名称 K8s Ingress平均请求延迟过高告警
版本号 1
类别 云平台、阿里云、流量安全、K8s流量安全
作用 监控K8s Ingress的平均请求延迟。当K8s Ingress的平均请求延迟高于指定阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 平均请求延迟阈值:K8s Ingress平均响应延迟的阈值,默认值为200毫秒。如果2分钟内K8s Ingress的平均响应延迟高于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:需要监控的K8s集群名称。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下所有的K8s集群名称。
外部配置
消除办法 检查触发告警的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes Ingress访问日志的开关。

K8s Ingress请求成功率过低告警

告警ID sls_app_audit_dataflow_at_ingress_rate
告警名称 K8s Ingress请求成功率过低告警
版本号 1
类别 云平台、阿里云、流量安全、K8s流量安全
作用 监控K8s Ingress的请求成功率。当K8s Ingress请求成功率低于指定阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 后端平均响应延迟阈值:K8s Ingress请求成功率的阈值,默认值为90%。如果2分钟内K8s Ingress的请求成功率低于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:需要监控的K8s集群名称。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下所有的K8s集群名称。
外部配置
消除办法 检查触发告警的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes Ingress访问日志的开关。

K8s非法访问次数过多告警

告警ID sls_app_audit_dataflow_at_k8s_visit
告警名称 K8s非法访问次数过多告警
版本号 1
类别 云平台、阿里云、流量安全、K8s流量安全
作用 监控K8s集群的访问情况。当K8s集群被非法访问的次数多于指定的阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 非法访问次数阈值:K8s集群被非法访问的次数的阈值,默认值为3次。如果2分钟内K8s集群被非法访问的次数超过该阈值时,触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • K8s集群名称:需要监控的K8s集群名称。
    • 您可以使用正则表达式.*进行配置。
    • 默认值为.*,表示监控目标阿里云账号下所有的K8s集群名称。
外部配置
消除办法 检查触发告警的K8s集群是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开Kubernetes Ingress访问日志的开关。