Вход в Kubernetes Calico NetworkPolicy? - PullRequest
Новая
       7

Вход в Kubernetes Calico NetworkPolicy?

0 голосов
/ 27 июня 2018

Я новичок в Kubernetes NetworkPolicy и сетевой плагин calico.

Я успешно внедрил calico в моем кластере Kubernetes: 

[root@node1 ~]# kubectl get po --all-namespaces -o wide | grep calico
kube-system     calico-kube-controllers-5d8b5bc986-sllmk                          1/1       Running
kube-system     calico-node-4wk8f                                                 1/1       Running
kube-system     calico-node-5kz99                                                 1/1       Running
kube-system     calico-node-bfk9w                                                 1/1       Running
kube-system     calico-node-f2tb2                                                 1/1       Running
kube-system     calico-node-hrcf4                                                 1/1       Running
kube-system     calico-node-wvh8d                                                 1/1       Running

Я также настроил соответствующие сетевые политики, и они отлично работают.

Единственное, что меня беспокоит, это регистрация. Я не могу найти никаких журналов, которые могли бы сказать мне, принят ли какой-либо запрос или заблокирован.

Я попытался проверить журналы модулей calico-nodes-*, но они не предоставляют никаких разумных журналов.

Есть ли еще журналы, на которые я могу посмотреть?

Ответы [ 2 ]

0 голосов
/ 29 июня 2018

Kubernetes NetworkPolicy не поддерживает ведение журнала, но собственный алгоритм Calico NetworkPolicy поддерживает действие «log», которое позволяет записывать пакеты в системный журнал.

Коммерческий продукт Tigera (: Я работаю на Tigera), CNX, который построен на Calico, предлагает дополнительные функции аудита и соответствия, поэтому вы можете проверить это.

0 голосов
/ 28 июня 2018

Вы можете просмотреть журналы контейнеров ситцевого узла в кластере Kubernetes по этому пути /var/log/calico, или его можно изменить с помощью параметра --log-dir, используемого в команде calicoctl node run, как описано в этой ссылке ,

Однако, если вы хотите просмотреть журналы вдоль CNI Network , посетите эту страницу .

Мне было очень полезно выйти из Calico CNI, используя kubelet в качестве целевой точки, а затем собрать их с помощью systemd, кроме того, вы можете указать значение для log_level параметра.

...