バージョン 1.5。このバージョンは、Anthos バージョンサポートポリシーに記載のとおり、サポートを終了しています。Anthos clusters on VMware (GKE on-prem) に影響するセキュリティの脆弱性、露出、問題に対する最新のパッチとアップデートを適用するには、サポート対象のバージョンにアップグレードしてください。最新バージョンはこちらで確認できます。

利用可能なバージョン

ネットワークポリシーイベントのロギング

このページでは、GKE On-Prem ユーザークラスタでネットワークポリシーロギングを有効にする方法と、ログをエクスポートする方法について説明します。ログに記録するイベントとログの形式の構成方法については、ネットワークポリシーロギングの使用をご覧ください。

概要

ネットワークポリシーは、Pod レベルのファイアウォールであり、Pod が送受信できるネットワークトラフィックを指定します。ネットワークポリシーログには、ネットワークポリシーのイベントが記録されます。ログには、すべてのイベントを記録するか、次の基準に従ってロギングを選択的に構成することができます。

許可された接続。
拒否された接続。
特定のポリシーで許可された接続。
拒否された、特定の名前空間の Pod への接続

始める前に

ネットワークポリシーロギングは、Dataplane V2 を使用するユーザークラスタでサポートされています。Dataplane V2 は、新しいユーザークラスタを作成するときに、ユーザークラスタ構成ファイルの enableDataplaneV2 フィールドを使用することで有効にできます。

ロギングを有効にする

デフォルトでは、ネットワークポリシーロギングは有効になっていません。ロギングを有効にして、ログに記録するイベントを選択する方法については、ネットワークポリシーロギングの構成をご覧ください。

ログへのアクセス

各クラスタノードで生成されたネットワークポリシーのログは、クラスタノード上でローカルに利用でき、/var/log/network/policy_actiontimestamp.log にあります。現行のログファイルが 10 MB になると、新しいタイムスタンプが付いたログファイルが作成されます。ログファイルは、最大 5 世代分が保存されます。

ログのエクスポート

クラスタノードからログをエクスポートするには、Fluent Bit を使用することをおすすめします。Fluent Bit は、Cloud Logging や多くの他のデータシンクへのエクスポートをサポートするオープンソースのログプロセッサおよびフォワーダーです。

次のステップ

ネットワークポリシーロギングの構成方法を確認する
ネットワークポリシーの作成方法を確認する

ネットワーク ポリシー イベントのロギング

概要