이 페이지에서는 GKE 클러스터에서 네트워크 정책 로깅을 사용 설정하는 방법과 로그를 내보내는 방법을 설명합니다.
개요
네트워크 정책은 포드 수준의 방화벽이며, 포드가 전송 및 수신할 수 있는 네트워크 트래픽을 지정합니다. 네트워크 정책 로그는 네트워크 정책 이벤트를 기록합니다. 모든 이벤트를 로깅하거나 다음 기준에 따라 이벤트를 로깅하도록 선택할 수 있습니다.
- 연결 허용.
- 연결 거부.
- 특정 정책에 따라 연결 허용.
- 특정 네임스페이스의 포드에 대한 연결 거부.
로깅 사용 설정
네트워크 정책 로깅은 기본적으로 사용 설정되지 않습니다. 로깅 사용 설정 및 로깅할 이벤트 선택에 대한 자세한 내용은 Google Kubernetes Engine 문서의 네트워크 정책 로깅 사용을 참조하세요.
로그 액세스
네트워크 정책 로그는 Cloud Logging에 자동으로 업로드됩니다. 로그 탐색기 또는 Google Cloud CLI를 통해 로그에 액세스할 수 있습니다. 원하는 싱크로 Cloud Logging에서 로그를 내보낼 수도 있습니다.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
다음을 바꿉니다.
PROJECT_NAME
: Google Cloud 프로젝트CLUSTER_LOCATION
: 클러스터가 관리되는 Google Cloud 위치입니다.CLUSTER_NAME
: 클러스터 이름입니다.
Cloud Logging
Google Cloud Console의 로그 탐색기 페이지로 이동합니다.
쿼리 빌더를 클릭합니다.
다음 쿼리를 사용하여 모든 네트워크 정책 로그 기록을 찾습니다.
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="awsClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
다음을 바꿉니다.
CLUSTER_LOCATION
: 클러스터가 관리되는 Google Cloud 위치입니다.CLUSTER_NAME
: 클러스터 이름입니다.PROJECT_NAME
: Google Cloud 프로젝트입니다.
로그 탐색기 사용 방법은 로그 탐색기 사용을 참조하세요.
쿼리 빌더를 사용하여 쿼리를 작성할 수도 있습니다. 네트워크 정책 로그를 쿼리하려면 로그 이름 드롭다운 목록에서 policy-action을 선택합니다. 사용 가능한 로그가 없으면 드롭다운 목록에 policy-action이 표시되지 않습니다.
네트워크 정책 로그에 대한 로컬 액세스
노드의 파일 시스템에 액세스할 수 있으면 로컬 파일 /var/log/network/policy_action.log*
의 각 노드에서 네트워크 정책 로그를 사용할 수 있습니다. 현재 로그 파일이 10MB에 도달하면 노드가 로그 파일을 순환합니다. 최대 5개의 이전 로그 파일이 저장됩니다.
다음 단계
- 네트워크 정책 로깅 구성 방법 알아보기