Il prodotto descritto in questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo del logging dei criteri di rete

Questa pagina spiega come attivare la registrazione dei criteri di rete in un cluster GKE e come esportare i log.

Panoramica

I criteri di rete sono firewall a livello di pod; specificano il traffico di rete che i pod sono autorizzati a inviare e ricevere. I log dei criteri di rete registrano gli eventi dei criteri di rete. Puoi registrare tutti gli eventi o scegliere di registrarli in base ai seguenti criteri:

Connessioni consentite.
Connessioni rifiutate.
Connessioni consentite da norme specifiche.
Connessioni negate ai pod in spazi dei nomi specifici.

Abilita il logging

La registrazione dei criteri di rete non è abilitata per impostazione predefinita. Per informazioni sull'attivazione della registrazione e sulla selezione degli eventi da registrare, consulta Utilizzo della registrazione dei criteri di rete nella documentazione di Google Kubernetes Engine.

Accedere ai log

I log delle norme di rete vengono caricati automaticamente in Cloud Logging. Puoi accedere ai log tramite Logs Explorer o Google Cloud CLI. Puoi anche esportare i log da Cloud Logging nel sink che preferisci.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Sostituisci quanto segue:

PROJECT_NAME: il tuo Google Cloud progetto
CLUSTER_LOCATION: la posizione Google Cloud da cui viene gestito il cluster
CLUSTER_NAME: il nome del tuo cluster

Cloud Logging

Vai alla pagina Esplora log nella console Google Cloud .

Vai a Esplora log
Fai clic su Query Builder.
Utilizza la seguente query per trovare tutti i record di log dei criteri di rete:
```
resource.type="k8s_node"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
logName="projects/PROJECT_NAME/logs/policy-action"
```
Sostituisci quanto segue:
- CLUSTER_LOCATION: la posizione Google Cloud da cui viene gestito il cluster
- CLUSTER_NAME: il nome del tuo cluster.
- PROJECT_NAME: il tuo Google Cloud progetto.

Per scoprire come utilizzare Esplora log, vedi Utilizzo di Esplora log.

Puoi anche creare una query utilizzando Query Builder. Per eseguire query sui log dei criteri di rete, seleziona policy-action nell'elenco a discesa Nome log. Se non sono disponibili log, policy-action non viene visualizzato nell'elenco a discesa.

Accesso locale ai log dei criteri di rete

Se hai accesso al file system di un nodo, i log dei criteri di rete sono disponibili su ogni nodo nel file locale /var/log/network/policy_action.log*. I nodi ruotano i file di log quando il file di log corrente raggiunge i 10 MB. Vengono memorizzati fino a cinque file di log precedenti.

Passaggi successivi

Scopri come configurare il logging dei criteri di rete

Utilizzo del logging dei criteri di rete Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.