Diese Dokumentation bezieht sich auf die neueste Version von GKE on Azure, die im November 2021 veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen.

Logging von Netzwerkrichtlinien verwenden

Auf dieser Seite wird erläutert, wie Sie das Logging von Netzwerkrichtlinien in einem GKE-Cluster aktivieren und Logs exportieren.

Überblick

Netzwerkrichtlinien sind Firewalls auf Pod-Ebene; Sie geben den Netzwerktraffic an, den Pods senden und empfangen dürfen. Netzwerkrichtlinienlogs erfassen Ereignisse von Netzwerkrichtlinien. Sie können alle Ereignisse protokollieren oder Ereignisse basierend auf den folgenden Kriterien protokollieren:

Zulässige Verbindungen.
Abgelehnte Verbindungen.
Verbindungen, die von bestimmten Richtlinien erlaubt werden.
Verbindungen zu Pods in bestimmten Namespaces wurden abgelehnt.

Logging aktivieren

Das Logging von Netzwerkrichtlinien ist nicht standardmäßig aktiviert. Informationen zum Aktivieren des Loggings und zur Auswahl der zu protokollierenden Ereignisse finden Sie in der Google Kubernetes Engine-Dokumentation unter Netzwerkrichtlinien-Logging verwenden.

Zugriff auf Logs

Logs von Netzwerkrichtlinien werden automatisch in Cloud Logging hochgeladen. Sie können auf Logs über den Log-Explorer oder mit der Google Cloud CLI zugreifen. Sie können auch Logs aus Cloud Logging in die Senke Ihrer Wahl exportieren.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Ersetzen Sie Folgendes:

PROJECT_NAME: Ihr Google Cloud-Projekt
CLUSTER_LOCATION: der Google Cloud-Standort, von dem Ihr Cluster verwaltet wird
CLUSTER_NAME: der Name Ihres Clusters

Cloud Logging

Rufen Sie in der Google Cloud Console den Log-Explorer auf.

Zum Log-Explorer
Klicken Sie auf Query Builder.
Verwenden Sie die folgende Abfrage, um alle Logs der Netzwerkrichtlinien zu finden:
```
resource.type="k8s_node"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="azureClusters/CLUSTER_NAME"
logName="projects/PROJECT_NAME/logs/policy-action"
```
Ersetzen Sie Folgendes:
- CLUSTER_LOCATION: der Google Cloud-Standort, von dem Ihr Cluster verwaltet wird
- CLUSTER_NAME: Der Name Ihres Clusters.
- PROJECT_NAME: Ihr Google Cloud-Projekt

Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.

Sie können auch eine Abfrage mit dem Query Builder erstellen. Zum Abfragen von Netzwerkrichtlinienlogs wählen Sie in der Drop-down-Liste Logname die Option policy-action aus. Wenn keine Logs verfügbar sind, wird policy-action nicht in der Drop-down-Liste angezeigt.

Lokaler Zugriff auf Netzwerkrichtlinienlogs

Wenn Sie Zugriff auf das Dateisystem eines Knotens haben, sind Netzwerkrichtlinienlogs auf jedem Knoten in der lokalen Datei /var/log/network/policy_action.log* verfügbar. Knoten rotieren Logdateien, wenn die aktuelle Logdatei 10 MB erreicht. Es werden bis zu fünf vorherige Logdateien gespeichert.

Nächste Schritte

Logging von Netzwerkrichtlinien konfigurieren