/签名api-机械
/sig检测
/种类功能
@kubernetes/sig-api-机械-杂项@逻辑

您希望添加什么内容：

当前，authn作为过滤器处理程序工作，在单独实现资源API之前执行。但是，apiserver_request_total度量是在执行这些过滤器处理程序之后记录的。这使得我们永远不会记录任何401 Unauthorized位。
考虑将apiserver_request_total等常用的度量提升为专用的过滤器处理器，使其在authn过滤器之前工作，这样我们就可以观察到那些401请求的发生。我能想到的记录401的利弊是：

优点：

• 提醒集群管理员证书已过期
• 提醒群集管理员可能存在不正确的外部签名者设置

缺点：

• 401请求可能是由垃圾邮件“不友好”客户端发送的，记录它们可能会压倒正常的请求。
• 记录等待时间（以及请求的其他维度）可能是无用的，并且还在API服务器处造成不必要的性能损失。
• 在某种意义上，可以认为这些认证的请求在API服务器的范围之外，