Il prodotto descritto in questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzo del logging dei criteri di rete

Questa pagina spiega come abilitare il logging dei criteri di rete in un cluster GKE e come esportare i log.

Panoramica

I criteri di rete sono firewall a livello di pod; specificano il traffico di rete che i pod sono autorizzati a inviare e ricevere. I log dei criteri di rete registrano gli eventi dei criteri di rete. Puoi registrare tutti gli eventi o scegliere di registrare gli eventi in base ai seguenti criteri:

Connessioni consentite.
Connessioni negate.
Connessioni consentite da criteri specifici.
Connessioni negate ai pod in spazi dei nomi specifici.

Abilita il logging

Il logging dei criteri di rete non è abilitato per impostazione predefinita. Per informazioni su come abilitare il logging e selezionare gli eventi da registrare, vedi Utilizzo del logging dei criteri di rete nella documentazione di Google Kubernetes Engine.

Accedere ai log

I log dei criteri di rete vengono caricati automaticamente in Cloud Logging. Puoi accedere ai log tramite Esplora log o con Google Cloud CLI. Puoi anche esportare i log da Cloud Logging nel sink di tua scelta.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Sostituisci quanto segue:

PROJECT_NAME: your Google Cloud project
CLUSTER_LOCATION: the Google Cloud location your cluster is managed from
CLUSTER_NAME: il nome del tuo cluster

Cloud Logging

Vai alla pagina Esplora log nella Google Cloud console.

Vai a Esplora log
Fai clic su Generatore di query.
Utilizza la seguente query per trovare tutti i record di log dei criteri di rete:
```
resource.type="k8s_node"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
logName="projects/PROJECT_NAME/logs/policy-action"
```
Sostituisci quanto segue:
- CLUSTER_LOCATION: the Google Cloud location your cluster is managed from
- CLUSTER_NAME: il nome del tuo cluster.
- PROJECT_NAME: your Google Cloud project.

Per scoprire come utilizzare Esplora log, vedi Utilizzo di Esplora log.

Puoi anche creare una query utilizzando il Generatore di query. Per eseguire una query per i log dei criteri di rete, seleziona policy-action nell'elenco a discesa Nome log. Se non sono disponibili log, policy-action non viene visualizzato nell'elenco a discesa.

Accesso locale ai log dei criteri di rete

Se hai accesso al file system di un nodo, i log dei criteri di rete sono disponibili su ogni nodo nel file locale /var/log/network/policy_action.log*. I nodi ruotano i file di log quando il file di log corrente raggiunge i 10 MB. Vengono archiviati fino a cinque file di log precedenti.

Passaggi successivi

Scopri come configurare il logging dei criteri di rete

Utilizzo del logging dei criteri di rete Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.