Questa documentazione si riferisce alla versione attuale di GKE su AWS, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Utilizzo del logging dei criteri di rete

Questa pagina spiega come abilitare il logging dei criteri di rete in un cluster GKE e come esportare i log.

Panoramica

I criteri di rete sono firewall a livello di pod e specificano il traffico di rete che i pod sono autorizzati a inviare e ricevere. I log dei criteri di rete registrano gli eventi dei criteri di rete. Puoi registrare tutti gli eventi oppure scegliere di registrarli in base ai seguenti criteri:

Connessioni consentite.
Connessioni negate.
Connessioni consentite da criteri specifici.
Connessioni negate ai pod in spazi dei nomi specifici.

Abilita i log

Il logging dei criteri di rete non è abilitato per impostazione predefinita. Per informazioni su come abilitare il logging e selezionare gli eventi da registrare, consulta Utilizzo del logging dei criteri di rete nella documentazione di Google Kubernetes Engine.

Accedere ai log

I log dei criteri di rete vengono caricati automaticamente in Cloud Logging. Puoi accedere ai log tramite Esplora log o Google Cloud CLI. Puoi anche esportare i log da Cloud Logging nel sink di tua scelta.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Sostituisci quanto segue:

PROJECT_NAME: il tuo progetto Google Cloud
CLUSTER_LOCATION: la località Google Cloud da cui è gestito il cluster
CLUSTER_NAME: il nome del tuo cluster

Cloud Logging

Vai alla pagina Esplora log nella console Google Cloud.

Vai a Esplora log
Fai clic su Query Builder.
Utilizza la query seguente per trovare tutti i record dei log dei criteri di rete:
```
resource.type="k8s_node"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
logName="projects/PROJECT_NAME/logs/policy-action"
```
Sostituisci quanto segue:
- CLUSTER_LOCATION: la località Google Cloud da cui è gestito il cluster
- CLUSTER_NAME: il nome del tuo cluster.
- PROJECT_NAME: il tuo progetto Google Cloud.

Per informazioni su come utilizzare Esplora log, consulta Utilizzo di Esplora log.

Puoi anche creare una query utilizzando lo strumento Query Builder. Per eseguire una query sui log dei criteri di rete, seleziona policy-action nell'elenco a discesa Nome log. Se non sono disponibili log, policy-action non viene visualizzata nell'elenco a discesa.

Accesso locale ai log dei criteri di rete

Se hai accesso al file system di un nodo, i log dei criteri di rete sono disponibili su ciascun nodo nel file locale /var/log/network/policy_action.log*. I nodi ruotano i file di log quando il file di log attuale raggiunge i 10 MB. Vengono archiviati fino a cinque file di log precedenti.

Passaggi successivi

Scopri come configurare il logging dei criteri di rete