このページでは、Google Distributed Cloud ユーザー クラスタでネットワーク ポリシー ロギングを有効にする方法と、ログをエクスポートする方法について説明します。ログに記録するイベントとログの形式の構成方法については、ネットワーク ポリシー ロギングの使用をご覧ください。
概要
ネットワーク ポリシーは、Pod レベルのファイアウォールであり、Pod が送受信できるネットワーク トラフィックを指定します。ネットワーク ポリシー ログには、ネットワーク ポリシーのイベントが記録されます。ログには、すべてのイベントを記録するか、次の基準に従ってロギングを選択的に構成することができます。
- 許可された接続。
- 拒否された接続。
- 特定のポリシーで許可された接続。
- 拒否された、特定の名前空間の Pod への接続
始める前に
ネットワーク ポリシー ロギングは、Dataplane V2 を使用するユーザー クラスタでサポートされています。Dataplane V2 は、新しいユーザー クラスタを作成するときに、ユーザー クラスタ構成ファイルの enableDataplaneV2
フィールドを使用することで有効にできます。
ロギングを有効にする
デフォルトでは、ネットワーク ポリシー ロギングは有効になっていません。ロギングを有効にして、ログに記録するイベントを選択する方法については、ネットワーク ポリシー ロギングの構成をご覧ください。
ログへのアクセス
各クラスタノードで生成されたネットワーク ポリシーのログは、クラスタノード上でローカルに利用でき、/var/log/network/policy_actiontimestamp.log
にあります。現行のログファイルが 10 MB になると、新しいタイムスタンプが付いたログファイルが作成されます。ログファイルは、最大 5 世代分が保存されます。
ログのエクスポート
クラスタノードからログをエクスポートするには、Fluent Bit を使用することをおすすめします。Fluent Bit は、Cloud Logging や多くの他のデータシンクへのエクスポートをサポートするオープンソースのログプロセッサおよびフォワーダーです。
次のステップ
- ネットワーク ポリシー ロギングの構成方法を確認する
- ネットワーク ポリシーの作成方法を確認する