ネットワーク ポリシー イベントのロギング

このページでは、Google Distributed Cloud ユーザー クラスタでネットワーク ポリシー ロギングを有効にする方法と、ログをエクスポートする方法について説明します。ログに記録するイベントとログの形式の構成方法については、ネットワーク ポリシー ロギングの使用をご覧ください。

概要

ネットワーク ポリシーは、Pod レベルのファイアウォールであり、Pod が送受信できるネットワーク トラフィックを指定します。ネットワーク ポリシー ログには、ネットワーク ポリシーのイベントが記録されます。ログには、すべてのイベントを記録するか、次の基準に従ってロギングを選択的に構成することができます。

• 許可された接続。
• 拒否された接続。
• 特定のポリシーで許可された接続。
• 拒否された、特定の名前空間の Pod への接続

始める前に

ネットワーク ポリシー ロギングは、Dataplane V2 を使用するユーザー クラスタでサポートされています。Dataplane V2 は、新しいユーザー クラスタを作成するときに、ユーザー クラスタ構成ファイルの enableDataplaneV2 フィールドを使用することで有効にできます。

ロギングを有効にする

デフォルトでは、ネットワーク ポリシー ロギングは有効になっていません。ロギングを有効にして、ログに記録するイベントを選択する方法については、ネットワーク ポリシー ロギングの構成をご覧ください。

ログへのアクセス

各クラスタノードで生成されたネットワーク ポリシーのログは、クラスタノード上でローカルに利用でき、/var/log/network/policy_actiontimestamp.log にあります。現行のログファイルが 10 MB になると、新しいタイムスタンプが付いたログファイルが作成されます。ログファイルは、最大 5 世代分が保存されます。

ログのエクスポート

クラスタノードからログをエクスポートするには、Fluent Bit を使用することをおすすめします。Fluent Bit は、Cloud Logging や多くの他のデータシンクへのエクスポートをサポートするオープンソースのログプロセッサおよびフォワーダーです。

次のステップ

• ネットワーク ポリシー ロギングの構成方法を確認する
• ネットワーク ポリシーの作成方法を確認する