Kubernetes Calico NetworkPolicy的日志？

Question

我是Kubernetes NetworkPolicy和网络插件calico的新手。

我已经在我的Kubernetes集群中成功地实现了calico：

[root@node1 ~]# kubectl get po --all-namespaces -o wide | grep calico
kube-system     calico-kube-controllers-5d8b5bc986-sllmk                          1/1       Running
kube-system     calico-node-4wk8f                                                 1/1       Running
kube-system     calico-node-5kz99                                                 1/1       Running
kube-system     calico-node-bfk9w                                                 1/1       Running
kube-system     calico-node-f2tb2                                                 1/1       Running
kube-system     calico-node-hrcf4                                                 1/1       Running
kube-system     calico-node-wvh8d                                                 1/1       Running

我还配置了相关的网络策略，它们工作得非常好。

我唯一关心的就是日志。我找不到任何可以告诉我某个请求是被接受还是被阻止的日志。

我尝试检查calico-nodes-* pods的日志，但它们没有提供任何合理的日志。

还有没有其他日志可以让我看看？

Answer 1

Kubernetes不支持日志记录，但是NetworkPolicy的原生NetworkPolicy支持“日志”操作，允许您将数据包记录到系统日志中。

Tigera(免责声明:Tigera I work for Tigera)商业产品CNX构建于Calico之上，提供了额外的审计和合规性功能，因此您可能想要查看一下。

Answer 2

您可以在路径/var/log/calico中检查Kubernetes集群中的calico-node容器日志，也可以通过calicoctl node run命令中使用的--log-dir参数对其进行修改，如此link中所述。

但是，如果您想观察CNI Network上的日志，请访问此page。

我发现使用kubelet作为目标点从Calico CNI注销事件，然后通过systemd收集它们非常有用，此外，您还可以为log_level参数指定一个值。