Menggunakan logging kebijakan jaringan

Halaman ini menjelaskan cara mengaktifkan logging kebijakan jaringan di cluster GKE dan cara mengekspor log.

Ringkasan

Kebijakan jaringan adalah firewall tingkat Pod; kebijakan ini menentukan traffic jaringan yang diizinkan untuk dikirim dan diterima Pod. Log kebijakan jaringan mencatat peristiwa kebijakan jaringan. Anda dapat mencatat semua peristiwa ke dalam log atau memilih untuk mencatat peristiwa ke dalam log berdasarkan kriteria berikut:

  • Koneksi yang diizinkan.
  • Koneksi yang ditolak.
  • Koneksi diizinkan oleh kebijakan tertentu.
  • Koneksi ke Pod ditolak dalam namespace tertentu.

Mengaktifkan logging

Logging kebijakan jaringan tidak diaktifkan secara default. Untuk mengetahui informasi tentang cara mengaktifkan logging dan memilih peristiwa yang akan dicatat, baca Menggunakan logging kebijakan jaringan dalam dokumentasi Google Kubernetes Engine.

Mengakses log

Log kebijakan jaringan diupload secara otomatis ke Cloud Logging. Anda dapat mengakses log melalui Logs Explorer atau dengan Google Cloud CLI. Anda juga dapat mengekspor log dari Cloud Logging ke sink pilihan Anda.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Ganti kode berikut:

  • PROJECT_NAME: proyek Google Cloud Anda
  • CLUSTER_LOCATION: lokasi Google Cloud dari cluster Anda yang dikelola
  • CLUSTER_NAME: nama cluster Anda

Cloud Logging

  1. Buka halaman Logs Explorer di Konsol Google Cloud.

    Buka Logs Explorer

  2. Klik Query builder.

  3. Gunakan kueri berikut untuk menemukan semua data log kebijakan jaringan:

    resource.type="k8s_node"
    resource.labels.location="CLUSTER_LOCATION"
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
    logName="projects/PROJECT_NAME/logs/policy-action"
    

    Ganti kode berikut:

    • CLUSTER_LOCATION: lokasi Google Cloud dari cluster Anda yang dikelola
    • CLUSTER_NAME: nama cluster Anda.
    • PROJECT_NAME: project Google Cloud Anda.

Untuk mempelajari cara menggunakan Logs Explorer, lihat Menggunakan Logs Explorer.

Anda juga dapat membuat kueri menggunakan Query builder. Untuk membuat kueri log kebijakan jaringan, pilih policy-action di menu drop-down Log name. Jika tidak ada log yang tersedia, policy-action tidak akan muncul di menu drop-down.

Akses lokal ke log kebijakan jaringan

Jika Anda memiliki akses ke sistem file node, log kebijakan jaringan tersedia di setiap node dalam file lokal /var/log/network/policy_action.log*. Node memutar file log saat file log saat ini mencapai 10 MB. Hingga lima file log sebelumnya akan disimpan.

Langkah selanjutnya