Logging von Netzwerkrichtlinien verwenden
Auf dieser Seite wird erläutert, wie Sie das Logging von Netzwerkrichtlinien in einem GKE-Cluster aktivieren und Logs exportieren.
Überblick
Netzwerkrichtlinien sind Firewalls auf Pod-Ebene; Sie geben den Netzwerktraffic an, den Pods senden und empfangen dürfen. Netzwerkrichtlinienlogs erfassen Ereignisse von Netzwerkrichtlinien. Sie können alle Ereignisse protokollieren oder Ereignisse basierend auf den folgenden Kriterien protokollieren:
- Zulässige Verbindungen.
- Abgelehnte Verbindungen.
- Verbindungen, die von bestimmten Richtlinien erlaubt werden.
- Verbindungen zu Pods in bestimmten Namespaces wurden abgelehnt.
Logging aktivieren
Das Logging von Netzwerkrichtlinien ist nicht standardmäßig aktiviert. Informationen zum Aktivieren des Loggings und zur Auswahl der zu protokollierenden Ereignisse finden Sie in der Google Kubernetes Engine-Dokumentation unter Netzwerkrichtlinien-Logging verwenden.
Zugriff auf Logs
Logs von Netzwerkrichtlinien werden automatisch in Cloud Logging hochgeladen. Sie können auf Logs über den Log-Explorer oder mit der Google Cloud CLI zugreifen. Sie können auch Logs aus Cloud Logging in die Senke Ihrer Wahl exportieren.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
Ersetzen Sie Folgendes:
PROJECT_NAME
: Ihr Google Cloud-ProjektCLUSTER_LOCATION
: der Google Cloud-Standort, von dem Ihr Cluster verwaltet wirdCLUSTER_NAME
: der Name Ihres Clusters
Cloud Logging
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Klicken Sie auf Query Builder.
Verwenden Sie die folgende Abfrage, um alle Logs der Netzwerkrichtlinien zu finden:
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="azureClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
Ersetzen Sie Folgendes:
CLUSTER_LOCATION
: der Google Cloud-Standort, von dem Ihr Cluster verwaltet wirdCLUSTER_NAME
: Der Name Ihres Clusters.PROJECT_NAME
: Ihr Google Cloud-Projekt
Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.
Sie können auch eine Abfrage mit dem Query Builder erstellen. Zum Abfragen von Netzwerkrichtlinienlogs wählen Sie in der Drop-down-Liste Logname die Option policy-action aus. Wenn keine Logs verfügbar sind, wird policy-action nicht in der Drop-down-Liste angezeigt.
Lokaler Zugriff auf Netzwerkrichtlinienlogs
Wenn Sie Zugriff auf das Dateisystem eines Knotens haben, sind Netzwerkrichtlinienlogs auf jedem Knoten in der lokalen Datei /var/log/network/policy_action.log*
verfügbar. Knoten rotieren Logdateien, wenn die aktuelle Logdatei 10 MB erreicht. Es werden bis zu fünf vorherige Logdateien gespeichert.