Az 1. számú best practice, hogy akkora rendszert, amihez k8s illik, nem üzemeltetünk központi loggyűjtés nélkül (mondjuk monitoring nélkül sem, de az itt nem annyira releváns).
Mivel a hálózati belépési pontokon illik szűrni (az pedig véletlenül sem a szolgáltatás konténere lesz), szerintem a fail2ban annyira nem lesz jól használható, vagy legalábbis nagyon sokat kell majd hákolni, hogy a megfelelő pontokon tudja érvényre juttatni a szűrést - igazából össze lehetne dobni valami adatbázisos/git repós mókát is akár.
A központi loggyűjtésre amúgy sem ártana logelemzésre alkalmas komponenst is ültetni (pl. graylog), én biztos, hogy inkább azzal oldanám meg.