Utiliser la fonctionnalité de journalisation des règles de réseau

Cette page explique comment activer la journalisation des règles de réseau dans un cluster GKE et comment exporter des journaux.

Présentation

Les règles de réseau sont des pare-feu au niveau du pod. Elles spécifient le trafic réseau que les pods sont autorisés à envoyer et à recevoir. Les journaux des règles de réseau enregistrent les événements liés à la règle de réseau. Vous pouvez consigner tous les événements ou choisir de les consigner en fonction des critères suivants :

  • Connexions autorisées
  • Connexions refusées
  • Connexions autorisées par des règles spécifiques
  • Connexions refusées aux pods dans des espaces de noms spécifiques

Activer la journalisation

La journalisation des règles de réseau n'est pas activée par défaut. Pour en savoir plus sur l'activation de la journalisation et la sélection des événements à consigner, consultez la page Utiliser la fonctionnalité de journalisation des règles de réseau dans la documentation Google Kubernetes Engine.

Accès aux journaux

Les journaux des règles de réseau sont automatiquement importés dans Cloud Logging. Vous pouvez accéder aux journaux via l'explorateur de journaux ou à l'aide de Google Cloud CLI. Vous pouvez également exporter les journaux depuis Cloud Logging vers le récepteur de votre choix.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Remplacez les éléments suivants :

  • PROJECT_NAME : projet Google Cloud
  • CLUSTER_LOCATION : emplacement Google Cloud à partir duquel votre cluster est géré
  • CLUSTER_NAME : nom du cluster

Cloud Logging

  1. Accédez à la page Explorateur de journaux dans Google Cloud Console.

    Accéder à l'explorateur de journaux

  2. Cliquez sur Générateur de requêtes.

  3. Utilisez la requête suivante pour rechercher tous les enregistrements du journal des règles de réseau :

    resource.type="k8s_node"
    resource.labels.location="CLUSTER_LOCATION"
    resource.labels.cluster_name="azureClusters/CLUSTER_NAME"
    logName="projects/PROJECT_NAME/logs/policy-action"
    

    Remplacez les éléments suivants :

    • CLUSTER_LOCATION : emplacement Google Cloud à partir duquel votre cluster est géré
    • CLUSTER_NAME : nom du cluster
    • PROJECT_NAME : projet Google Cloud

Pour apprendre à utiliser l'explorateur de journaux, consultez la section Utiliser l'explorateur de journaux.

Vous pouvez également créer une requête à l'aide du Générateur de requêtes. Pour interroger les journaux des règles de réseau, sélectionnez policy-action dans la liste déroulante Nom du journal. Si aucun journal n'est disponible, policy-action n'apparaît pas dans la liste déroulante.

Accès local aux journaux des règles de réseau

Si vous avez accès au système de fichiers d'un nœud, les journaux des règles de réseau sont disponibles sur chaque nœud dans le fichier local /var/log/network/policy_action.log*. Les nœuds alternent les fichiers journaux lorsque le fichier journal actuel atteint 10 Mo. Vous pouvez stocker jusqu'à cinq fichiers journaux précédents.

Étape suivante