Halaman ini menjelaskan cara mengaktifkan logging kebijakan jaringan di cluster GKE dan cara mengekspor log.
Ringkasan
Kebijakan jaringan adalah firewall tingkat Pod; kebijakan ini menentukan traffic jaringan yang diizinkan untuk dikirim dan diterima Pod. Log kebijakan jaringan mencatat peristiwa kebijakan jaringan. Anda dapat mencatat semua peristiwa ke dalam log atau memilih untuk mencatat peristiwa ke dalam log berdasarkan kriteria berikut:
- Koneksi yang diizinkan.
- Koneksi yang ditolak.
- Koneksi diizinkan oleh kebijakan tertentu.
- Koneksi ke Pod ditolak dalam namespace tertentu.
Mengaktifkan logging
Logging kebijakan jaringan tidak diaktifkan secara default. Untuk mengetahui informasi tentang cara mengaktifkan logging dan memilih peristiwa yang akan dicatat, baca Menggunakan logging kebijakan jaringan dalam dokumentasi Google Kubernetes Engine.
Mengakses log
Log kebijakan jaringan diupload secara otomatis ke Cloud Logging. Anda dapat mengakses log melalui Logs Explorer atau dengan Google Cloud CLI. Anda juga dapat mengekspor log dari Cloud Logging ke sink pilihan Anda.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
Ganti kode berikut:
PROJECT_NAME
: proyek Google Cloud AndaCLUSTER_LOCATION
: lokasi Google Cloud dari cluster Anda yang dikelolaCLUSTER_NAME
: nama cluster Anda
Cloud Logging
Buka halaman Logs Explorer di Konsol Google Cloud.
Klik Query builder.
Gunakan kueri berikut untuk menemukan semua data log kebijakan jaringan:
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="awsClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
Ganti kode berikut:
CLUSTER_LOCATION
: lokasi Google Cloud dari cluster Anda yang dikelolaCLUSTER_NAME
: nama cluster Anda.PROJECT_NAME
: project Google Cloud Anda.
Untuk mempelajari cara menggunakan Logs Explorer, lihat Menggunakan Logs Explorer.
Anda juga dapat membuat kueri menggunakan Query builder. Untuk membuat kueri log kebijakan jaringan, pilih policy-action di menu drop-down Log name. Jika tidak ada log yang tersedia, policy-action tidak akan muncul di menu drop-down.
Akses lokal ke log kebijakan jaringan
Jika Anda memiliki akses ke sistem file node, log kebijakan jaringan tersedia di
setiap node dalam file lokal /var/log/network/policy_action.log*
. Node
memutar file log saat file log saat ini mencapai 10 MB. Hingga lima file log
sebelumnya akan disimpan.