Utiliser la fonctionnalité de journalisation des règles de réseau
Cette page explique comment activer la journalisation des règles de réseau dans un cluster GKE et comment exporter des journaux.
Présentation
Les règles de réseau sont des pare-feu au niveau du pod. Elles spécifient le trafic réseau que les pods sont autorisés à envoyer et à recevoir. Les journaux des règles de réseau enregistrent les événements liés à la règle de réseau. Vous pouvez consigner tous les événements ou choisir de les consigner en fonction des critères suivants :
- Connexions autorisées
- Connexions refusées
- Connexions autorisées par des règles spécifiques
- Connexions refusées aux pods dans des espaces de noms spécifiques
Activer la journalisation
La journalisation des règles de réseau n'est pas activée par défaut. Pour en savoir plus sur l'activation de la journalisation et la sélection des événements à consigner, consultez la page Utiliser la fonctionnalité de journalisation des règles de réseau dans la documentation Google Kubernetes Engine.
Accès aux journaux
Les journaux des règles de réseau sont automatiquement importés dans Cloud Logging. Vous pouvez accéder aux journaux via l'explorateur de journaux ou à l'aide de Google Cloud CLI. Vous pouvez également exporter les journaux depuis Cloud Logging vers le récepteur de votre choix.
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
Remplacez les éléments suivants :
PROJECT_NAME
: projet Google CloudCLUSTER_LOCATION
: emplacement Google Cloud à partir duquel votre cluster est géréCLUSTER_NAME
: nom du cluster
Cloud Logging
Accédez à la page Explorateur de journaux dans Google Cloud Console.
Cliquez sur Générateur de requêtes.
Utilisez la requête suivante pour rechercher tous les enregistrements du journal des règles de réseau :
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="azureClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"
Remplacez les éléments suivants :
CLUSTER_LOCATION
: emplacement Google Cloud à partir duquel votre cluster est géréCLUSTER_NAME
: nom du clusterPROJECT_NAME
: projet Google Cloud
Pour apprendre à utiliser l'explorateur de journaux, consultez la section Utiliser l'explorateur de journaux.
Vous pouvez également créer une requête à l'aide du Générateur de requêtes. Pour interroger les journaux des règles de réseau, sélectionnez policy-action dans la liste déroulante Nom du journal. Si aucun journal n'est disponible, policy-action n'apparaît pas dans la liste déroulante.
Accès local aux journaux des règles de réseau
Si vous avez accès au système de fichiers d'un nœud, les journaux des règles de réseau sont disponibles sur chaque nœud dans le fichier local /var/log/network/policy_action.log*
. Les nœuds alternent les fichiers journaux lorsque le fichier journal actuel atteint 10 Mo. Vous pouvez stocker jusqu'à cinq fichiers journaux précédents.