Auf dieser Seite wird erläutert, wie Sie das Logging von Netzwerkrichtlinien in einem GKE On-Prem-Nutzercluster aktivieren und Logs exportieren. Informationen zum Konfigurieren von Ereignissen und zur Formatierung von Logs finden Sie unter Logging von Netzwerkrichtlinien verwenden.
Übersicht
Netzwerkrichtlinien sind Firewalls auf Pod-Ebene. Sie geben den Netzwerktraffic an, den Pods senden und empfangen dürfen. Netzwerkrichtlinienlogs erfassen Ereignisse von Netzwerkrichtlinien. Sie können alle Ereignisse protokollieren oder das Logging auf der Grundlage der folgenden Kriterien selektiv konfigurieren:
- Zulässige Verbindungen.
- Abgelehnte Verbindungen.
- Verbindungen, die von bestimmten Richtlinien erlaubt werden.
- Abgelehnte Verbindungen zu Pods in bestimmten Namespaces.
Hinweis
Das Logging von Netzwerkrichtlinien wird in Nutzerclustern unterstützt, die Dataplane V2 verwenden. Sie können Dataplane V2 beim Erstellen eines neuen Nutzerclusters aktivieren. Dazu verwenden Sie das Feld enableDataplaneV2 in der Nutzercluster-Konfigurationsdatei.
Logging aktivieren
Das Logging von Netzwerkrichtlinien ist nicht standardmäßig aktiviert. Informationen zum Aktivieren von Logging und zur Auswahl der zu protokollierenden Ereignisse finden Sie unter Netzwerkrichtlinien-Logging konfigurieren.
Zugriff auf Logs
Die auf jedem Clusterknoten erstellten Logs für Netzwerkrichtlinien sind lokal auf den Clusterknoten unter /var/log/network/policy_actiontimestamp.log verfügbar. Wenn die aktuelle Logdatei 10 MB erreicht, wird eine neue Logdatei mit Zeitstempel erstellt. Es werden bis zu fünf vorherige Logdateien gespeichert.
Export von Logs
Wir empfehlen die Verwendung von Fluent Bit zum Exportieren von Logs aus Ihren Clusterknoten. Fluent Bit ist ein Open-Source-Log-Prozessor und -Forwarder, der den Export nach Cloud Logging und viele andere Datensenken unterstützt.