שימוש ברישום ביומן של מדיניות הרשת

בדף הזה מוסבר איך להפעיל רישום ביומן של מדיניות הרשת באשכול GKE ואיך לייצא את היומנים.

סקירה כללית

כללי מדיניות של רשת הם חומות אש ברמת ה-Pod. הם מציינים את תעבורת הרשת ש-Pods יכולים לשלוח ולקבל. ביומנים של מדיניות הרשת נרשמים אירועים שקשורים למדיניות הרשת. אתם יכולים לרשום ביומן את כל האירועים, או לבחור לרשום אירועים על סמך הקריטריונים הבאים:

  • חיבורים מותרים.
  • חיבורים שנדחו.
  • חיבורים שמותרים לפי מדיניות ספציפית.
  • החיבורים נדחים ל-Pods במרחבי שמות ספציפיים.

הפעלת רישום ביומן

רישום ביומן של מדיניות הרשת מושבת כברירת מחדל. במאמר שימוש ברישום ביומן של מדיניות הרשת במסמכי התיעוד של Google Kubernetes Engine מוסבר איך להפעיל את הרישום ביומן ולבחור אילו אירועים לרשום ביומן.

גישה ליומנים

יומני מדיניות הרשת מועלים אוטומטית ל-Cloud Logging. אפשר לגשת ליומנים דרך הכלי Logs Explorer או באמצעות Google Cloud CLI. אפשר גם לייצא יומנים מ-Cloud Logging אל ה-sink שתבחרו.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_NAME: הפרויקט ב- Google Cloud
  • CLUSTER_LOCATION: Google Cloud המיקום שממנו מנוהל האשכול
  • CLUSTER_NAME: השם של האשכול

Cloud Logging

  1. נכנסים לדף Logs Explorer במסוף Google Cloud .

    כניסה לדף Logs Explorer

  2. לוחצים על Query builder (כלי ליצירת שאילתות).

  3. כדי למצוא את כל הרשומות ביומן של מדיניות הרשת, משתמשים בשאילתה הבאה:

    resource.type="k8s_node"
    resource.labels.location="CLUSTER_LOCATION"
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
    logName="projects/PROJECT_NAME/logs/policy-action"
    

    מחליפים את מה שכתוב בשדות הבאים:

    • CLUSTER_LOCATION: Google Cloud המיקום שממנו מנוהל האשכול
    • CLUSTER_NAME: השם של האשכול.
    • PROJECT_NAME: הפרויקט ב- Google Cloud .

מידע נוסף על השימוש ב-Logs Explorer מופיע במאמר שימוש ב-Logs Explorer.

אפשר גם ליצור שאילתה באמצעות בונה השאילתות. כדי לשלוח שאילתה ליומנים של מדיניות הרשת, בוחרים באפשרות policy-action מהרשימה הנפתחת שם היומן. אם אין יומנים זמינים, policy-action לא מופיע ברשימה הנפתחת.

גישה מקומית ליומני מדיניות הרשת

אם יש לכם גישה למערכת הקבצים של צומת, יומני מדיניות הרשת זמינים בכל צומת בקובץ המקומי /var/log/network/policy_action.log*. הצמתים מסובבים את קובצי היומן כשהקובץ הנוכחי מגיע ל-10MB. מערכת שומרת עד חמישה קבצים קודמים של יומנים.

המאמרים הבאים