Version 1.5. Cette version n'est plus compatible, comme indiqué dans la politique de compatibilité avec les versions d'Anthos. Pour obtenir les derniers correctifs et mises à jour pour les failles de sécurité, les expositions et les problèmes affectant Anthos Clusters on VMware (GKE On-Prem), passez à une version compatible. Vous trouverez la version la plus récente ici.

Versions disponibles

Journaliser des événements de règle de réseau

Cette page explique comment activer la journalisation des règles de réseau dans un cluster d'utilisateur GKE On-Prem et comment exporter des journaux. Consultez la section Utiliser la fonctionnalité de journalisation des règles de réseau pour apprendre à configurer les événements consignés et à mettre en forme les journaux.

Présentation

Les règles de réseau sont des pare-feu au niveau des pods. Elles spécifient le trafic réseau que les pods sont autorisés à envoyer et recevoir. Les journaux des règles de réseau enregistrent les événements liés à la règle de réseau. Vous pouvez enregistrer tous les événements ou configurer la journalisation de manière sélective en fonction des critères suivants :

Connexions autorisées
Connexions refusées
Connexions autorisées par des règles spécifiques
Connexions aux pods refusées dans des espaces de noms spécifiques

Avant de commencer

La journalisation des règles de réseau est disponible dans les clusters d'utilisateur qui utilisent Dataplane V2. Vous pouvez activer Dataplane V2 lorsque vous créez un cluster d'utilisateur à l'aide du champ enableDataplaneV2 dans le fichier de configuration du cluster d'utilisateur.

Activer la journalisation

La journalisation des règles de réseau n'est pas activée par défaut. Pour plus d'informations sur l'activation de la journalisation et la sélection des événements à consigner, consultez la section Configurer la journalisation des règles de réseau.

Accès aux journaux

Les journaux de règles de réseau générés sur chaque nœud de cluster sont disponibles localement sur les nœuds de cluster à l'adresse /var/log/network/policy_actiontimestamp.log. Un fichier journal horodaté est créé lorsque le fichier journal actuel atteint 10 Mo. Vous pouvez stocker jusqu'à cinq fichiers journaux précédents.

Exporter les journaux

Nous vous recommandons d'utiliser Fluent Bit pour exporter les journaux de vos nœuds de cluster. Fluent Bit est un processeur et redirecteur de journaux Open Source compatible avec l'exportation vers Cloud Logging et de nombreux autres récepteurs de données.

Étapes suivantes

Découvrez comment configurer la journalisation des règles de réseau.
Découvrez comment créer une règle de réseau.