4

我是 KubernetesNetworkPolicy和网络插件的新手calico

calico我已经在我的 Kubernetes 集群中成功实现了:

[root@node1 ~]# kubectl get po --all-namespaces -o wide | grep calico
kube-system     calico-kube-controllers-5d8b5bc986-sllmk                          1/1       Running
kube-system     calico-node-4wk8f                                                 1/1       Running
kube-system     calico-node-5kz99                                                 1/1       Running
kube-system     calico-node-bfk9w                                                 1/1       Running
kube-system     calico-node-f2tb2                                                 1/1       Running
kube-system     calico-node-hrcf4                                                 1/1       Running
kube-system     calico-node-wvh8d                                                 1/1       Running

我还配置了相关的网络策略,它们工作得很好。

我唯一关心的是日志记录。我找不到任何可以告诉我某个请求是被接受还是被阻止的日志。

我试过检查calico-nodes-*pod 的日志,但它们没有提供任何合理的日志。

还有其他我可以查看的日志吗?

4

2 回答 2

2

KubernetesNetworkPolicy不支持日志记录,但 Calico 的原生NetworkPolicy支持“日志”操作,允许您将数据包记录到系统日志中。

Tigera 的(免责声明:我为 Tigera 工作)商业产品 CNX,它基于 Calico 构建,提供额外的审计和合规性功能,因此您可能想检查一下。

于 2018-06-29T09:31:30.270 回答
1

您可以在此路径中检查跨 Kubernetes 集群的 calico-node 容器日志/var/log/calico,也可以通过命令中--log-dir使用的参数对其进行修改calicoctl node run,如此链接中所述。

但是,如果您想查看沿CNI 网络的日志,请访问此页面

我发现使用作为目标点从 Calico CNI 注销事件kubelet然后通过 收集它们非常有帮助systemd,此外您还可以为参数指定一个值log_level

于 2018-06-28T10:54:45.940 回答