Ведение журнала для Kubernetes Calico NetworkPolicy?

Я новичок в Kubernetes NetworkPolicy и сетевом плагине calico.

Я успешно реализовал calico в своем кластере Kubernetes:

[root@node1 ~]# kubectl get po --all-namespaces -o wide | grep calico
kube-system     calico-kube-controllers-5d8b5bc986-sllmk                          1/1       Running
kube-system     calico-node-4wk8f                                                 1/1       Running
kube-system     calico-node-5kz99                                                 1/1       Running
kube-system     calico-node-bfk9w                                                 1/1       Running
kube-system     calico-node-f2tb2                                                 1/1       Running
kube-system     calico-node-hrcf4                                                 1/1       Running
kube-system     calico-node-wvh8d                                                 1/1       Running

Я также настроил соответствующие сетевые политики, и они отлично работают.

Единственное, что меня беспокоит, это логирование. Я не могу найти никаких журналов, которые могли бы сказать мне, принят ли какой-либо запрос или заблокирован.

Я попытался проверить журналы модулей calico-nodes-*, но они не предоставляют никаких разумных журналов.

Есть ли другие журналы, которые я могу посмотреть?


kubernetes project-calico
person Community    schedule 27.06.2018    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Kubernetes NetworkPolicy не поддерживает ведение журнала, но собственный NetworkPolicy Calico поддерживает действие "журнала", которое позволяет записывать пакеты в системный журнал.

Коммерческий продукт Tigera (отказ от ответственности:, я работаю на Tigera), CNX, который построен на Calico, предлагает дополнительные функции аудита и соответствия, так что вы, возможно, захотите это проверить.

person Fasaxc    schedule 29.06.2018

arrow_upward
1
arrow_downward

Вы можете проверить журналы контейнеров calico-node в своем кластере Kubernetes по этому пути /var/log/calico или его можно изменить с помощью параметра --log-dir, используемого в команде calicoctl node run, как описано в этом ссылка.

Однако, если вы хотите просмотреть журналы в сети CNI, пожалуйста, посетите эту страницу.

Я нашел очень полезным выходить из событий из Calico CNI, используя kubelet в качестве целевой точки, а затем собирать их через systemd, кроме того, вы можете указать значение для параметра log_level.

person Nick_Kh    schedule 28.06.2018