En esta página, se explica cómo habilitar el registro de políticas de red en un clúster de GKE y cómo exportar los registros.
Descripción general
Las políticas de red son firewalls a nivel de Pod que especifican el tráfico de red que los Pods pueden enviar y recibir. Los registros de la política de red registran los eventos de políticas de red. Puedes registrar todos los eventos o elegir registrar eventos según los siguientes criterios:
- Conexiones permitidas.
- Conexiones denegadas.
- Conexiones permitidas por políticas específicas.
- Conexiones rechazadas a los Pods en espacios de nombres específicos.
Habilite el registro
El registro de las políticas de red no está habilitado de forma predeterminada. Para obtener información sobre cómo habilitar el registro y seleccionar qué eventos registrar, consulta Usa el registro de políticas de red en la documentación de Google Kubernetes Engine.
Accede a los registros
Los registros de las políticas de red se suben de forma automática a Cloud Logging. Puedes acceder a los registros a través del Explorador de registros o con Google Cloud CLI. También puedes exportar registros de Cloud Logging al receptor que elijas.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
Reemplaza lo siguiente:
PROJECT_NAME
: es tu proyecto de Google CloudCLUSTER_LOCATION
: es la ubicación de Google Cloud desde la que se administra tu clústerCLUSTER_NAME
: es el nombre de tu clúster
Cloud Logging
Ve al Explorador de registros en la consola de Google Cloud.
Haz clic en Compilador de consultas.
Usa la siguiente consulta para encontrar todos los registros de las políticas de red:
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="awsClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
Reemplaza lo siguiente:
CLUSTER_LOCATION
: es la ubicación de Google Cloud desde la que se administra tu clústerCLUSTER_NAME
: El nombre de tu clúster.PROJECT_NAME
: es tu proyecto de Google Cloud.
Para aprender a usar el explorador de registros, consulta Usa el Explorador de registros.
También puedes compilar una consulta con el Compilador de consultas. Para consultar los registros de las políticas de red, selecciona policy-action en la lista desplegable Nombre del registro. Si no hay registros disponibles, policy-action no aparece en la lista desplegable.
Acceso local a los registros de políticas de redes
Si tienes acceso al sistema de archivos de un nodo, los registros de las políticas de red están disponibles en cada nodo en el archivo local /var/log/network/policy_action.log*
. Los nodos rotan los archivos de registro cuando el archivo de registro actual alcanza los 10 MB. Se almacenan hasta cinco archivos de registro anteriores.