使用網路政策記錄功能

本頁說明如何在 GKE 叢集中啟用網路政策記錄功能,以及如何匯出記錄。

總覽

網路政策是 Pod 層級的防火牆,可指定 Pod 允許傳送及接收的網路流量。網路政策記錄會記錄網路政策事件。您可以記錄所有事件,也可以根據下列條件選擇要記錄的事件:

  • 允許的連線。
  • 已拒絕的連線。
  • 特定政策允許的連線。
  • 拒絕連線至特定命名空間中的 Pod。

啟用記錄功能

網路政策記錄功能預設為停用。如要瞭解如何啟用記錄功能及選取要記錄的事件,請參閱 Google Kubernetes Engine 說明文件中的「使用網路政策記錄功能」。

存取記錄

網路政策記錄會自動上傳至 Cloud Logging。 您可以透過記錄檔瀏覽器或 Google Cloud CLI 存取記錄。您也可以從 Cloud Logging 匯出記錄至所選接收器。

gcloud

gcloud logging read --project "PROJECT_NAME" 'resource.type="k8s_node" \
    resource.labels.location="CLUSTER_LOCATION" \
    resource.labels.cluster_name="azureClusters/CLUSTER_NAME" \
    logName="projects/PROJECT_NAME/logs/policy-action"'

更改下列內容:

  • PROJECT_NAME:您的 Google Cloud 專案
  • CLUSTER_LOCATION:管理叢集的位置 Google Cloud
  • CLUSTER_NAME:叢集名稱

Cloud Logging

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 按一下「查詢產生器」

  3. 使用下列查詢找出所有網路政策記錄:

    resource.type="k8s_node"
    resource.labels.location="CLUSTER_LOCATION"
    resource.labels.cluster_name="azureClusters/CLUSTER_NAME"
    logName="projects/PROJECT_NAME/logs/policy-action"
    

    更改下列內容:

    • CLUSTER_LOCATION:管理叢集的位置 Google Cloud
    • CLUSTER_NAME:叢集名稱。
    • PROJECT_NAME:您的 Google Cloud 專案。

如要瞭解如何使用記錄檔探索工具,請參閱「使用記錄檔探索工具」。

您也可以使用查詢建構工具建構查詢。如要查詢網路政策記錄,請在「記錄名稱」下拉式清單中選取「policy-action」。如果沒有可用的記錄,下拉式清單中就不會顯示「policy-action」

在本機存取網路政策記錄

如果您有權存取節點的檔案系統,則可在每個節點的本機檔案 /var/log/network/policy_action.log* 中查看網路政策記錄。節點會在目前的記錄檔達到 10 MB 時輪替記錄檔。系統最多會儲存五個先前的記錄檔。

後續步驟