Administrar registros de flujo

Usa los registros de flujo para guardar metadatos de tráfico de red, incluidos 5-tuplas, en Google Distributed Cloud (GDC) aislado para la pila de observabilidad en forma de registros consultables. Usa estos registros para lo siguiente:

• Conocer los flujos de tráfico de un servicio concreto de una organización.
• Entender e identificar problemas con el estado de la red de una carga de trabajo de Kubernetes.
• Verifica las políticas de red de Kubernetes.

El registro de flujo es una función de GDC basada en el proyecto de código abierto Hubble: https://github.com/cilium/hubble. Configura los registros de flujo con el recurso FlowLog de la API Networking.

Antes de empezar

• Debes obtener autorización para gestionar o ver los registros de flujo desde la consola de GDC. Para gestionar los registros de flujo, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de registros de flujo (flowlog-admin). Para ver solo los registros de flujo, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol Lector de registros de flujo (flowlog-viewer).

  Para obtener información sobre cómo definir enlaces de roles desde la consola de GDC, consulta Conceder acceso a recursos.

• Antes de consultar y ver los registros de flujo en los paneles de control, debes obtener acceso a la instancia de monitorización. Para obtener más información, consulta Consultar y ver métricas.

Crear un registro de flujo

Crea un registro de flujo para guardar los metadatos del tráfico de red que se filtran según un conjunto de especificaciones.

Crear un registro de flujo con filtros de protocolo y espacio de nombres

1. Crea un archivo llamado example-flowlog.yaml con el siguiente contenido:

   apiVersion: networking.gdc.goog/v1
   kind: FlowLog
   metadata:
     name: "FLOW_LOG_NAME"
     namespace: "platform"
   spec:
     filters:
       - l4Protocols:
           - tcp
         source:
           namespacePodSelectors:
             - namespace: gpc-system
             - namespace: kube-system
         destination:
           namespacePodSelectors:
             - namespace: kube-system
     lifetime:
       duration: "1h"
   

   Sustituye FLOW_LOG_NAME por el nombre que hayas elegido para el registro de flujo.

   En este ejemplo, el registro de flujo captura todos los flujos para los que cualquier pod del espacio de nombres gpc-system o kube-system haya iniciado una conexión TCP con cualquier pod del espacio de nombres kube-system. Deja de registrar los registros una hora después de que se cree el objeto.

2. Crea el objeto de registro de flujo:

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f example-flowlog.yaml
   

   Sustituye MANAGEMENT_API_SERVER por la ruta de kubeconfig del servidor de la API Management zonal.

3. Verifica que el valor de FLOW_LOG_NAME se haya conciliado correctamente y que el proceso de registro se haya iniciado examinando el campo Status:

   kubectl --kubeconfig MANAGEMENT_API_SERVER describe -n platform FLOW_LOG_NAME
   

   Estado de ejemplo:

   Status:
     Clusters:
       Cluster:  org-1-infra-cluster
       Conditions:
         Last Transition Time:  2024-01-19T01:46:11Z
         Message:
         Observed Generation:   1
         Reason:                ResourcesPropagated
         Status:                True
         Type:                  Propagated
       Name:                    cilium-flowlog-config
       Namespace:               kube-system
       Node:                    org-1-infra
       Cluster:                 user-vm-1-cluster
       Conditions:
         Last Transition Time:  2024-01-19T01:46:11Z
         Message:
         Observed Generation:   1
         Reason:                ResourcesPropagated
         Status:                True
         Type:                  Propagated
       Name:                    cilium-flowlog-config
       Namespace:               kube-system
       Node:                    user-vm-1
       Cluster:                 user-vm-2-cluster
       Conditions:
         Last Transition Time:  2024-01-19T01:46:11Z
         Message:
         Observed Generation:   1
         Reason:                ResourcesPropagated
         Status:                True
         Type:                  Propagated
       Name:                    cilium-flowlog-config
       Namespace:               kube-system
       Node:                    user-vm-2
     Conditions:
       Last Transition Time:  2024-01-18T19:17:53Z
       Message:
       Observed Generation:   1
       Reason:                Active
       Status:                True
       Type:                  Logging
       Last Transition Time:  2024-01-19T01:46:11Z
       Message:
       Observed Generation:   1
       Reason:                ResourcesPropagated
       Status:                True
       Type:                  Propagated
       Last Transition Time:  2024-01-18T19:17:53Z
       Message:
       Observed Generation:   1
       Reason:                Succeeded
       Status:                True
       Type:                  Reconciled
     Start Time:              2024-01-18T19:17:53Z
     End Time:              2024-01-18T20:17:53Z
   

   Esta salida de ejemplo contiene las siguientes condiciones:

   • Propagated: la configuración del registro de flujo se ha enviado a los clústeres user-vm-1, user-vm-2 y org-1-infra.
   • Reconciled: el registro de flujo se ha programado correctamente en los clústeres user-vm-1, user-vm-2 y org-1-infra.
   • Logging: el registro de flujo no ha caducado ni se ha inhabilitado, no ha detectado ningún error y puede generar registros si los filtros coinciden con los flujos.
   • Los iconos Start Time y End Time indican que el trabajo se inició a las 19:17:53 y que caduca a las 20:17:53.

   Para que este registro de flujo pueda generar entradas de registro correctamente, se deben cumplir las condiciones Propagated, Reconciled y Logging.

Modificar un registro de flujo

Para modificar un registro de flujo, modifique la definición del objeto de registro de flujo creado en el archivo example-flowlog.yaml y vuelva a aplicarlo:

kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f example-flowlog.yaml

Ver registros de flujo en el panel de control de monitorización

1. Abre el panel de control de registros operativos. Para obtener más información, consulta Consultar registros operativos.

2. Defina el valor del menú desplegable identifier como network-flow-logs, haga clic en add json parser y proporcione el siguiente valor a la consulta: {identifier="network-flow-logs"} | json.

   

3. Haz clic en Realizar una consulta. Se muestran las entradas del registro de flujo guardadas:

   

4. Usa los filtros para acotar aún más los resultados. Por ejemplo, en el desplegable Clúster, elija el valor user-vm-1 para ver solo los flujos recogidos del clúster user-vm-1:

   

5. Consulta las entradas de registro de flujo, amplía la entrada para ver los detalles y añade más filtros de etiquetas según sea necesario con el icono de acceso directo. En este ejemplo, queremos filtrar aún más los flujos por su dirección IP de origen:

   

6. Haz clic en el icono de acceso directo + para filtrar los flujos por un campo de metadatos específico.

   

Ver resultados por nombre de registro de flujo

Cuando se crean varios registros de flujo, se puede crear un filtro de etiquetas adicional para ver los resultados de uno o varios registros de flujo.

Para ver los resultados limitados a los registros generados por FLOW_LOG_NAME, cree un filtro de etiqueta con los siguientes valores:

• Label se ha establecido en On. Se distingue entre mayúsculas y minúsculas.
• Operator se ha establecido en ~=. Se usa un comparador de expresiones regulares.
• Value se ha establecido en /FLOW_LOG_NAME/. El valor FLOW_LOG_NAME debe estar entre /.

Filtra los resultados para ver solo los registros generados por flowlog1:

Referencias

• Documentación sobre el exportador dinámico de Hubble: https://docs.cilium.io/en/latest/observability/hubble-exporter/#dynamic-exporter-configuration