使用網路政策記錄功能
本頁說明如何在 GKE 叢集中啟用網路政策記錄功能,以及如何匯出記錄。
總覽
網路政策是 Pod 層級的防火牆,可指定 Pod 允許傳送及接收的網路流量。網路政策記錄會記錄網路政策事件。您可以記錄所有事件,也可以根據下列條件選擇要記錄的事件:
- 允許的連線。
- 已拒絕的連線。
- 特定政策允許的連線。
- 拒絕連線至特定命名空間中的 Pod。
啟用記錄功能
網路政策記錄功能預設為停用。如要瞭解如何啟用記錄功能及選取要記錄的事件,請參閱 Google Kubernetes Engine 說明文件中的「使用網路政策記錄功能」。
存取記錄
網路政策記錄會自動上傳至 Cloud Logging。 您可以透過記錄檔瀏覽器或 Google Cloud CLI 存取記錄。您也可以從 Cloud Logging 匯出記錄至所選接收器。
gcloud
gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
resource.labels.location="CLUSTER_LOCATION" \
resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
logName="projects/PROJECT_NAME/logs/policy-action"'
更改下列內容:
PROJECT_NAME:您的 Google Cloud 專案CLUSTER_LOCATION:管理叢集的位置 Google CloudCLUSTER_NAME:叢集名稱
Cloud Logging
前往 Google Cloud 控制台的「Logs Explorer」頁面。
按一下「查詢產生器」。
使用下列查詢找出所有網路政策記錄:
resource.type="k8s_node" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="azureClusters/CLUSTER_NAME" logName="projects/PROJECT_NAME/logs/policy-action"更改下列內容:
CLUSTER_LOCATION:管理叢集的位置 Google CloudCLUSTER_NAME:叢集名稱。PROJECT_NAME:您的 Google Cloud 專案。
如要瞭解如何使用記錄檔探索工具,請參閱「使用記錄檔探索工具」。
您也可以使用查詢建構工具建構查詢。如要查詢網路政策記錄,請在「記錄名稱」下拉式清單中選取「policy-action」。如果沒有可用的記錄,下拉式清單中就不會顯示「policy-action」。
在本機存取網路政策記錄
如果您有權存取節點的檔案系統,則可在每個節點的本機檔案 /var/log/network/policy_action.log* 中查看網路政策記錄。節點會在目前的記錄檔達到 10 MB 時輪替記錄檔。系統最多會儲存五個先前的記錄檔。