O produto descrito nesta documentação, GKE na AWS, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Usar registro de política de rede

Esta página explica como habilitar o registro de política de rede em um cluster do GKE e como exportar registros.

Visão geral

As políticas de rede são firewalls em nível de pod; elas especificam o tráfego de rede que os pods têm permissão para enviar e receber. Os logs de políticas de rede registram eventos de políticas de rede. Você pode registrar todos os eventos ou optar por registrar eventos com base nos seguintes critérios:

Conexões permitidas.
Conexões negadas.
Conexões permitidas por políticas específicas.
Conexões negadas a Pods em namespaces específicos.

Habilitando o registro

O registro de políticas de rede não é habilitado por padrão. Para obter informações sobre como habilitar o registro e selecionar quais eventos registrar, consulte "Usando o registro de políticas de rede" na documentação do Google Kubernetes Engine.

Acessando logs

Os logs de políticas de rede são enviados automaticamente para o Cloud Logging . Você pode acessá-los pelo Logs Explorer ou com o Google Cloud CLI. Você também pode exportar logs do Cloud Logging para o coletor de sua escolha.

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="awsClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

Substitua o seguinte:

PROJECT_NAME : seu Google Cloud projeto
CLUSTER_LOCATION : o Google Cloud local de onde seu cluster é gerenciado
CLUSTER_NAME : o nome do seu cluster

Registro em nuvem

Acesse a página do Logs Explorer em Google Cloud console.
Vá para o Logs Explorer
Clique em Construtor de consultas .
Use a seguinte consulta para encontrar todos os registros de log de política de rede:
```
resource.type="k8s_node"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="awsClusters/CLUSTER_NAME"
logName="projects/PROJECT_NAME/logs/policy-action"
```
Substitua o seguinte:
- CLUSTER_LOCATION : o Google Cloud local de onde seu cluster é gerenciado
- CLUSTER_NAME : o nome do seu cluster.
- PROJECT_NAME : seu Google Cloud projeto.

Para saber como usar o Logs Explorer, consulte Usando o Logs Explorer .

Você também pode criar uma consulta usando o Construtor de Consultas . Para consultar logs de políticas de rede, selecione policy-action na lista suspensa "Nome do log" . Se não houver logs disponíveis, policy-action não aparecerá na lista suspensa.

Acesso local aos logs de políticas de rede

Se você tiver acesso ao sistema de arquivos de um nó, os logs de política de rede estarão disponíveis em cada nó no arquivo local /var/log/network/policy_action.log* . Os nós rotacionam os arquivos de log quando o arquivo de log atual atinge 10 MB. Até cinco arquivos de log anteriores são armazenados.

O que vem a seguir

Aprenda a configurar o registro de políticas de rede

Usar registro de política de rede Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.