Nesta página, explicamos como ativar a geração de registros de política de rede em um cluster do GKE e como exportar registros.
Visão geral
As políticas de rede são firewalls no nível do pod. Elas especificam o tráfego de rede que os pods podem enviar e receber. Os registros de políticas de rede gravam eventos de política de rede. É possível registrar todos os eventos ou optar por registrar eventos com base nos seguintes critérios:
- Conexões permitidas.
- Conexões negadas.
- Conexões permitidas por políticas específicas.
- Conexões negadas para pods em namespaces específicos.
Como ativar a geração de registros
O registro da política de rede não está ativado por padrão. Para informações sobre como ativar a geração de registros e selecionar quais eventos registrar, consulte Como usar a geração de registros da política de rede na documentação do Google Kubernetes Engine.
Como acessar os registros
Os registros da política de rede são enviados automaticamente para o Cloud Logging. É possível acessar registros pelo Explorador de registros ou com a Google Cloud CLI. Também é possível exportar registros do Cloud Logging para o coletor de sua escolha.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
Substitua:
PROJECT_NAME
: seu projeto do Google Cloud.CLUSTER_LOCATION
: o local do Google Cloud em que o cluster é gerenciadoCLUSTER_NAME
: o nome do cluster.
Cloud Loggings
Acesse a página do Explorador de registros no Console do Google Cloud:
Clique em Criador de consultas.
Use a seguinte consulta para encontrar todos os registros de políticas de rede:
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="awsClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
Substitua:
CLUSTER_LOCATION
: o local do Google Cloud em que o cluster é gerenciadoCLUSTER_NAME
: o nome do cluster.PROJECT_NAME
: seu projeto do Google Cloud.
Para saber como usar o Explorador de registros, consulte Como usar o Explorador de registros.
Também é possível criar uma consulta usando o Criador de consultas. Para consultar registros de política de rede, selecione policy-action na lista suspensa Nome do registro. Se não houver registros disponíveis, policy-action não será exibido na lista suspensa.
Acesso local aos registros da política de rede
Se você tiver acesso ao sistema de arquivos de um nó, os registros de política de rede estarão disponíveis em cada nó no arquivo local /var/log/network/policy_action.log*
. Os nós alternam os arquivos de registros quando o atual alcança 10 MB. Até cinco arquivos de registros anteriores são armazenados.