Usa el registro de políticas de red

En esta página, se explica cómo habilitar el registro de políticas de red en un clúster de GKE y cómo exportar los registros.

Descripción general

Las políticas de red son firewalls a nivel de Pod que especifican el tráfico de red que los Pods pueden enviar y recibir. Los registros de la política de red registran los eventos de políticas de red. Puedes registrar todos los eventos o elegir registrar eventos según los siguientes criterios:

  • Conexiones permitidas.
  • Conexiones denegadas.
  • Conexiones permitidas por políticas específicas.
  • Conexiones rechazadas a los Pods en espacios de nombres específicos.

Habilite el registro

El registro de las políticas de red no está habilitado de forma predeterminada. Para obtener información sobre cómo habilitar el registro y seleccionar qué eventos registrar, consulta Usa el registro de políticas de red en la documentación de Google Kubernetes Engine.

Accede a los registros

Los registros de las políticas de red se suben de forma automática a Cloud Logging. Puedes acceder a los registros a través del Explorador de registros o con Google Cloud CLI. También puedes exportar registros de Cloud Logging al receptor que elijas.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Reemplaza lo siguiente:

  • PROJECT_NAME: es tu proyecto de Google Cloud
  • CLUSTER_LOCATION: es la ubicación de Google Cloud desde la que se administra tu clúster
  • CLUSTER_NAME: es el nombre de tu clúster

Cloud Logging

  1. Ve al Explorador de registros en la consola de Google Cloud.

    Ir al Explorador de registros

  2. Haz clic en Compilador de consultas.

  3. Usa la siguiente consulta para encontrar todos los registros de las políticas de red:

    resource.type="k8s_node"
    resource.labels.location="CLUSTER_LOCATION"
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
    logName="projects/PROJECT_NAME/logs/policy-action"
    

    Reemplaza lo siguiente:

    • CLUSTER_LOCATION: es la ubicación de Google Cloud desde la que se administra tu clúster
    • CLUSTER_NAME: El nombre de tu clúster.
    • PROJECT_NAME: es tu proyecto de Google Cloud.

Para aprender a usar el explorador de registros, consulta Usa el Explorador de registros.

También puedes compilar una consulta con el Compilador de consultas. Para consultar los registros de las políticas de red, selecciona policy-action en la lista desplegable Nombre del registro. Si no hay registros disponibles, policy-action no aparece en la lista desplegable.

Acceso local a los registros de políticas de redes

Si tienes acceso al sistema de archivos de un nodo, los registros de las políticas de red están disponibles en cada nodo en el archivo local /var/log/network/policy_action.log*. Los nodos rotan los archivos de registro cuando el archivo de registro actual alcanza los 10 MB. Se almacenan hasta cinco archivos de registro anteriores.

¿Qué sigue?