Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.2. Traffic flows ビューからのネットワークトラフィックの監視

Traffic flows ビューには、ネットワークフローのデータとトラフィックの量がテーブルに表示されます。管理者は、トラフィックフローテーブルを使用して、アプリケーション全体のトラフィック量を監視できます。

9.2.1. Traffic flows ビューの操作
リンクのコピー

管理者は、Traffic flows テーブルに移動して、ネットワークフロー情報を確認できます。

手順

  1. Observe Network Traffic に移動します。
  2. Network Traffic ページで、Traffic flows タブをクリックします。

各行をクリックして、対応するフロー情報を取得できます。

9.2.2. Traffic flows ビューの詳細オプションの設定
リンクのコピー

Show advanced options を使用して、ビューをカスタマイズおよびエクスポートできます。Display options ドロップダウンメニューを使用して、行サイズを設定できます。デフォルト値は Normal です。

9.2.2.1. 列の管理
リンクのコピー

表示する必要のある列を選択し、並べ替えることができます。列を管理するには、Manage columns をクリックします。

9.2.2.2. トラフィックフローデータのエクスポート
リンクのコピー

Traffic flows ビューからデータをエクスポートできます。

手順

  1. Export data をクリックします。
  2. ポップアップウィンドウで、Export all data チェックボックスを選択してすべてのデータをエクスポートし、チェックボックスをオフにしてエクスポートする必要のあるフィールドを選択できます。
  3. Export をクリックします。

9.2.3. FlowCollector カスタムリソースを使用した IPsec の設定
リンクのコピー

OpenShift Container Platform では、IPsec はデフォルトで無効になっています。「IPsec 暗号化の設定」の手順に従って IPsec を有効にできます。

前提条件

  • OpenShift Container Platform で IPsec 暗号化を有効にした。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs 見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. IPsec の FlowCollector カスタムリソースを設定します。

    IPsec の FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  agent:
    type: eBPF
    ebpf:
      features:
      - "IPSec"
    Copy to Clipboard Toggle word wrap

検証

IPsec が有効な場合:

  • IPsec Status という新しい列が Network Observability の Traffic フロービューに表示され、フローが正常に IPsec で暗号化されたかどうか、または暗号化/復号化中にエラーが発生したかどうかが表示されます。
  • 生成された暗号化トラフィックの割合を示す新しいダッシュボード。

9.2.4. 会話追跡の使用
リンクのコピー

管理者は、同じ会話の一部であるネットワークフローをグループ化できます。会話は、IP アドレス、ポート、プロトコルによって識別されるピアのグループとして定義され、その結果、一意の Conversation ID が得られます。Web コンソールで対話イベントをクエリーできます。これらのイベントは、Web コンソールでは次のように表示されます。

  • Conversation start: このイベントは、接続が開始されているか、TCP フラグがインターセプトされたときに発生します。
  • Conversation tick: このイベントは、接続がアクティブである間、FlowCollector spec.processor.conversationHeartbeatInterval パラメーターで定義された指定間隔ごとに発生します。
  • Conversation end: このイベントは、FlowCollector spec.processor.conversationEndTimeout パラメーターに達するか、TCP フラグがインターセプトされたときに発生します。
  • Flow: これは、指定された間隔内に発生するネットワークトラフィックフローです。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs 見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. spec.processor.logTypesconversationEndTimeout、および conversationHeartbeatInterval パラメーターが観察のニーズに応じて設定されるように、FlowCollector カスタムリソースを設定します。設定例は次のとおりです。

    会話追跡用に FlowCollector を設定する

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
 processor:
  logTypes: Flows
    1 
    
  advanced:
   conversationEndTimeout: 10s
    2 
    
   conversationHeartbeatInterval: 30s
    3
    Copy to Clipboard Toggle word wrap

    1
    logTypesFlows に設定すると、Flow イベントのみがエクスポートされます。値を All に設定すると、会話イベントとフローイベントの両方がエクスポートされ、Network Traffic ページに表示されます。会話イベントのみに焦点を当てるには、Conversations を指定します。これを指定すると、Conversation startConversation tick、および Conversation end イベントがエクスポートされます。EndedConversations を指定すると、Conversation end イベントのみがエクスポートされます。ストレージ要件は All で最も高く、EndedConversations で最も低くなります。
    2
    Conversation end イベントは、conversationEndTimeout に達するか、TCP フラグがインターセプトされた時点を表します。
    3
    Conversation tick イベントは、ネットワーク接続がアクティブである間の、FlowCollectorconversationHeartbeatInterval パラメーターで定義された各指定間隔を表します。
    注記

    logType オプションを更新しても、以前の選択によるフローはコンソールプラグインから消去されません。たとえば、午前 10 時まで logTypeConversations に設定し、その後 EndedConversations に移行すると、コンソールプラグインは、午前 10 時まではすべての会話イベントを表示し、午前 10 時以降は終了した会話のみを表示します。

  5. Traffic flows タブの Network Traffic ページを更新します。Event/TypeConversation Id という 2 つの新しい列があることに注意してください。クエリーオプションとして Flow が選択されている場合、すべての Event/Type フィールドは Flow になります。
  6. Query Options を選択し、Log Type として Conversation を選択します。Event/Type は、必要なすべての会話イベントを表示するようになりました。
  7. 次に、特定の会話 ID でフィルタリングするか、サイドパネルから ConversationFlow ログタイプのオプションを切り替えることができます。

9.2.5. パケットドロップの使用
リンクのコピー

パケットロスは、ネットワークフローデータの 1 つ以上のパケットが宛先に到達できない場合に発生します。パケットのドロップは、次に示す YAML の例の仕様に合わせて FlowCollector を編集することで追跡できます。

重要

この機能を有効にすると、CPU とメモリーの使用量が増加します。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs 見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. パケットドロップ用に FlowCollector カスタムリソースを設定します。以下はその例です。

    FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  agent:
    type: eBPF
    ebpf:
      features:
       - PacketDrop
    1 
    
      privileged: true
    2
    Copy to Clipboard Toggle word wrap

    1
    spec.agent.ebpf.features 仕様リストに PacketDrop パラメーターをリストすることで、各ネットワークフローにおけるパケットドロップの報告を開始できます。
    2
    パケットドロップを追跡するには、spec.agent.ebpf.privileged の仕様値が true である必要があります。

検証

  • Network Traffic ページを更新すると、OverviewTraffic FlowTopology ビューにパケットドロップに関する新しい情報が表示されます。

    1. Manage panels で、Overview に表示するパケットドロップのグラフィカル表示を新しく選択します。

    2. Manage columns で、Traffic flows テーブルに表示するパケットドロップ情報を選択します。

      1. Traffic Flows ビューでは、サイドパネルを展開してパケットドロップの詳細情報を表示することもできます。ホストドロップには SKB_DROP という接頭辞が付き、OVS ドロップには OVS_DROP という接頭辞が付きます。
    3. Topology ビューでは、ドロップが発生した場所が赤線で表示されます。

9.2.6. DNS 追跡の使用
リンクのコピー

DNS 追跡を使用すると、ネットワークの監視、セキュリティー分析の実施、DNS 問題のトラブルシューティングを実行できます。次に示す YAML の例の仕様に合わせて FlowCollector を編集することで、DNS を追跡できます。

重要

この機能を有効にすると、eBPF agent で CPU とメモリーの使用量の増加が観察されます。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. Network ObservabilityProvided APIs という見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. FlowCollector カスタムリソースを設定します。設定例は次のとおりです。

    DNS 追跡用に FlowCollector を設定する

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  agent:
    type: eBPF
    ebpf:
      features:
       - DNSTracking
    1 
    
      sampling: 1
    2
    Copy to Clipboard Toggle word wrap

    1
    spec.agent.ebpf.features パラメーターリストを設定すると、Web コンソールで各ネットワークフローの DNS 追跡を有効にできます。
    2
    より正確なメトリクスと DNS レイテンシー をキャプチャーするために、sampling 値を 1 に設定できます。sampling 値が 1 より大きい場合、DNS レスポンスコードDNS ID を含むフローを観測できますが、DNS レイテンシー を観測できる可能性は低くなります。

  5. Network Traffic ページを更新すると、Overview ビューと Traffic Flow ビューで表示する新しい DNS 表示と適用可能な新しいフィルターが表示されます。

    1. Manage panels で新しい DNS の選択肢を選択すると、Overview にグラフィカルな表現と DNS メトリクスが表示されます。
    2. Manage columns で新しい選択肢を選択すると、DNS 列が Traffic Flows ビューに追加されます。
    3. DNS IdDNS ErrorDNS LatencyDNS Response Code などの特定の DNS メトリクスでフィルタリングして、サイドパネルから詳細情報を確認します。DNS Latency 列と DNS Response Code 列がデフォルトで表示されます。
注記

TCP ハンドシェイクパケットには DNS ヘッダーがありません。DNS ヘッダーのない TCP プロトコルフローの場合、トラフィックフローデータに表示される DNS LatencyID、および Response code の値が "n/a" になります。"DNSError" が "0" の Common フィルターを使用すると、フローデータをフィルタリングして、DNS ヘッダーを持つフローのみを表示できます。

9.2.7. RTT トレーシングの使用
リンクのコピー

次に示す YAML の例の仕様に合わせて FlowCollector を編集することで、RTT を追跡できます。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs という見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. RTT トレーシング用に FlowCollector カスタムリソースを設定します。次に例を示します。

    FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  agent:
    type: eBPF
    ebpf:
      features:
       - FlowRTT
    1
    Copy to Clipboard Toggle word wrap

    1
    spec.agent.ebpf.features 仕様リストに FlowRTT パラメーターをリストすることで、RTT ネットワークフローのトレースを開始できます。

検証

Network Traffic ページを更新すると、OverviewTraffic FlowTopology ビューに RTT に関する新しい情報が表示されます。

  1. Overview で、Manage panels の新しい選択肢を選択して、表示する RTT のグラフィカル表示を選択します。
  2. Traffic flows テーブルに Flow RTT 列が表示されます。Manage columns で表示を管理できます。

  3. Traffic Flows ビューでは、サイドパネルを展開して RTT の詳細情報を表示することもできます。

    フィルタリングの例

    1. Common フィルター Protocol をクリックします。
    2. TCPIngress の方向に基づいてネットワークフローデータをフィルタリングし、10,000,000 ナノ秒 (10 ms) を超える FlowRTT 値を探します。
    3. Protocol フィルターを削除します。
    4. Common フィルターで 0 より大きい Flow RTT 値をフィルタリングします。
  4. Topology ビューで、Display option ドロップダウンをクリックします。次に、edge labels のドロップダウンリストで RTT をクリックします。

9.2.8. eBPF Manager Operator の操作
リンクのコピー

eBPF Manager Operator は、すべての eBPF プログラムを管理することで、攻撃対象領域を削減し、コンプライアンス、セキュリティー、競合防止を実現します。Network Observability は、eBPF Manager Operator を使用してフックをロードできます。そのため、特権モードや、CAP_BPFCAP_PERFMON などの追加の Linux ケイパビリティーを eBPF エージェントに提供する必要がなくなります。eBPF Manager Operator と Network Observability の連携は、64 ビット AMD アーキテクチャーでのみサポートされています。

重要

eBPF Manager Operator と Network Observability の連携は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

手順

  1. Web コンソールで、Operator Operator Hub に移動します。
  2. eBPF Manager をインストールします。
  3. bpfman namespace の Workloads Pod をチェックして、すべてが稼働していることを確認します。

  4. eBPF Manager Operator を使用するように FlowCollector カスタムリソースを設定します。

    FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  agent:
    ebpf:
      features:
        - EbpfManager
    Copy to Clipboard Toggle word wrap

検証

  1. Web コンソールで、Operators Installed Operators に移動します。

  2. eBPF Manager Operator All instances タブをクリックします。

    各ノードについて、netobserv という名前の BpfApplication と、BpfProgram オブジェクトのペア (Traffic Control (TCx) Ingress 用と TCx Egress 用のもの) が存在することを確認します。他の eBPF エージェント機能を有効にすると、オブジェクトが増える可能性があります。

9.2.8.1. ヒストグラムの使用
リンクのコピー

Show histogram をクリックすると、フローの履歴を棒グラフとして視覚化するためのツールバービューが表示されます。ヒストグラムは、時間の経過に伴うログの数を示します。ヒストグラムの一部を選択して、ツールバーに続く表でネットワークフローデータをフィルタリングできます。

9.2.9. アベイラビリティーゾーンの使用
リンクのコピー

クラスターのアベイラビリティーゾーンに関する情報を収集するように FlowCollector を設定できます。この設定により、ノードに適用される topology.kubernetes.io/zone ラベル値を使用してネットワークフローデータをエンリッチできます。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs 見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. FlowCollector カスタムリソースを設定し、spec.processor.addZone パラメーターを true に設定します。設定例は次のとおりです。

    アベイラビリティーゾーン収集用に FlowCollector を設定する

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
# ...
 processor:
   addZone: true
# ...
    Copy to Clipboard Toggle word wrap

検証

Network Traffic ページを更新すると、OverviewTraffic FlowTopology ビューにアベイラビリティーゾーンに関する新しい情報が表示されます。

  1. Overview タブに、使用可能な Scope として Zones が表示されます。
  2. Network Traffic Traffic flows の SrcK8S_Zone フィールドと DstK8S_Zone フィールドに Zones が表示されます。
  3. Topology ビューで、Scope または Group として Zones を設定できます。

9.2.10. 複数のルールを使用した eBPF フローデータのフィルタリング
リンクのコピー

FlowCollector カスタムリソースを設定して、複数のルールを使用して eBPF フローをフィルタリングし、eBPF フローテーブルにキャッシュされるパケットのフローを制御できます。

重要
  • フィルタールールでは重複する Classless Inter-Domain Routing (CIDR) を使用することはできません。
  • IP アドレスが複数のフィルタールールにマッチする場合、最も具体的な CIDR 接頭辞 (最も長い接頭辞) を持つルールが優先されます。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. Network ObservabilityProvided APIs という見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。
  4. 次のサンプル設定と同じように FlowCollector カスタムリソースを設定します。

すべての North-South トラフィックと 1:50 の East-West トラフィックをサンプリングする YAML の例

デフォルトでは、他のすべてのフローが拒否されます。 

apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  deploymentModel: Direct
  agent:
    type: eBPF
    ebpf:
      flowFilter:
        enable: true
1 

        rules:
         - action: Accept
2 

           cidr: 0.0.0.0/0
3 

           sampling: 1
4 

         - action: Accept
           cidr: 10.128.0.0/14
           peerCIDR: 10.128.0.0/14
5 

         - action: Accept
           cidr: 172.30.0.0/16
           peerCIDR: 10.128.0.0/14
           sampling: 50
Copy to Clipboard Toggle word wrap
1
eBPF フローフィルタリングを有効にするには、spec.agent.ebpf.flowFilter.enabletrue に設定します。
2
フローフィルタールールのアクションを定義するには、必要な action パラメーターを設定します。有効な値は Accept または Reject です。
3
フローフィルタールールの IP アドレスと CIDR マスクを定義するには、必要な cidr パラメーターを設定します。このパラメーターは IPv4 と IPv6 の両方のアドレス形式をサポートしています。すべての IP アドレスにマッチさせるには、IPv4 の場合は 0.0.0.0/0、IPv6 の場合は ::/0 を使用します。
4
マッチさせるフローのサンプリングレートを定義し、グローバルサンプリング設定 spec.agent.ebpf.sampling をオーバーライドするには、sampling パラメーターを設定します。
5
Peer IP CIDR でフローをフィルタリングするには、peerCIDR パラメーターを設定します。

パケットドロップでフローをフィルタリングする YAML の例

デフォルトでは、他のすべてのフローが拒否されます。 

apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  deploymentModel: Direct
  agent:
    type: eBPF
    ebpf:
      privileged: true
1 

      features:
        - PacketDrop
2 

      flowFilter:
        enable: true
3 

        rules:
        - action: Accept
4 

          cidr: 172.30.0.0/16
          pktDrops: true
5
Copy to Clipboard Toggle word wrap
1
パケットドロップを有効にするには、spec.agent.ebpf.privilegedtrue に設定します。
2
各ネットワークフローのパケットドロップを報告するには、spec.agent.ebpf.features リストに PacketDrop 値を追加します。
3
eBPF フローフィルタリングを有効にするには、spec.agent.ebpf.flowFilter.enabletrue に設定します。
4
フローフィルタールールのアクションを定義するには、必要な action パラメーターを設定します。有効な値は Accept または Reject です。
5
ドロップを含むフローをフィルタリングするには、pktDropstrue に設定します。

9.2.11. エンドポイント変換 (xlat)
リンクのコピー

Network Observability と拡張 Berkeley Packet Filter (eBPF) を使用して、統合ビューでトラフィックを処理するエンドポイントを可視化できます。通常、トラフィックがサービス、egressIP、またはロードバランサーを通過する場合、トラフィックフロー情報は、利用可能な Pod の 1 つにルーティングされるときに抽象化されます。トラフィックに関する情報を取得しようとすると、サービス IP やポートなどのサービス関連情報のみが表示され、リクエストを処理している特定の Pod に関する情報は表示されません。多くの場合、サービストラフィックと仮想サービスエンドポイントの両方の情報が 2 つの別々のフローとしてキャプチャーされるため、トラブルシューティングが複雑になります。

この問題の解決において、エンドポイント xlat は次のように役立ちます。

  • カーネルレベルでネットワークフローをキャプチャーします。この場合のパフォーマンスへの影響は、最小限に抑えられます。
  • 変換されたエンドポイント情報を使用してネットワークフローを拡充し、サービスだけでなく特定のバックエンド Pod も表示することで、どの Pod がリクエストを処理したか確認できます。

ネットワークパケットが処理されると、eBPF フックは、変換されたエンドポイントに関するメタデータでフローログをエンリッチします。これには、Network Traffic ページに 1 行で表示できる次の情報が含まれます。

  • ソース Pod IP
  • 送信元ポート
  • 宛先 Pod IP
  • 宛先ポート
  • Conntrack Zone ID

9.2.12. エンドポイント変換 (xlat) の操作
リンクのコピー

Network Observability と eBPF を使用すると、Kubernetes サービスからのネットワークフローを変換されたエンドポイント情報でエンリッチして、トラフィックを処理するエンドポイントに関する詳細情報を得ることができます。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs という見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. PacketTranslationFlowCollector カスタムリソースを、設定します。以下はその例です。

    FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  namespace: netobserv
  agent:
    type: eBPF
    ebpf:
      features:
       - PacketTranslation
    1
    Copy to Clipboard Toggle word wrap

    1
    spec.agent.ebpf.features 仕様リストに PacketTranslation パラメーターをリストすることで、変換されたパケット情報を使用してネットワークフローを充実させることができます。

フィルタリングの例

Network Traffic ページを更新すると、変換されたパケットに関する情報をフィルタリングできます。

  1. Destination kind: Service に基づき、ネットワークフローデータをフィルタリングします。

  2. 変換された情報が表示される場所を区別する xlat 列と、次のデフォルト列が表示されます。

    • Xlat Zone ID
    • Xlat Src Kubernetes Object
    • Xlat Dst Kubernetes Object

追加の xlat 列の表示は、Manage columns で管理できます。

9.2.13. ユーザー定義ネットワークの操作
リンクのコピー

Network Observability リソースでユーザー定義ネットワーク (UDN) を有効にできます。次の例は、FlowCollector リソースの設定を示しています。

前提条件

  • Red Hat OpenShift Networking で UDN を設定した。詳細は、「CLI を使用した UserDefinedNetwork の作成」または「Web コンソールを使用した UserDefinedNetwork の作成」を参照してください。

手順

  1. 次のコマンドを実行して、Network Observability の FlowCollector リソースを編集します。 

    $ oc edit flowcollector
    Copy to Clipboard Toggle word wrap

  2. FlowCollector リソースの ebpf セクションを設定します。 

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
  agent:
    ebpf:
      sampling: 1
    1 
    
      privileged: true
      features:
      - UDNMapping
    Copy to Clipboard Toggle word wrap
    1
    すべてのフローを観測できるように、この設定が推奨されます。

検証

  • Network Traffic ページを更新して、Traffic FlowTopology ビューで更新された UDN の情報を表示します。

    • Network Traffic > Traffic flows では、SrcK8S_NetworkName フィールドと DstK8S_NetworkName フィールドで UDN を確認できます。
    • Topology ビューでは、NetworkScope または Group に設定できます。

9.2.14. ネットワークイベントの表示
リンクのコピー

重要

OVN-Kubernetes ネットワークイベントの追跡は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

FlowCollector を編集して、次のリソースによってドロップまたは許可されたネットワークフローなどのネットワークトラフィックイベントに関する情報を表示できます。

  • NetworkPolicy
  • AdminNetworkPolicy
  • BaselineNetworkPolicy
  • EgressFirewall
  • UserDefinedNetwork 分離
  • マルチキャスト ACL

前提条件

  • cluster という名前の FeatureGate カスタムリソース (CR) で TechPreviewNoUpgrade 機能セットを設定することで、OVNObservability を有効にした。詳細は、「CLI を使用した機能セットの有効化」および「CLI を使用して OVS サンプリングで OVN-Kubernetes ネットワークトラフィックを確認する」を参照してください。
  • NetworkPolicyAdminNetworkPolicyBaselineNetworkPolicyUserDefinedNetwork の分離、マルチキャスト、または EgressFirewall のいずれかのネットワーク API を 1 つ以上作成した。

手順

  1. Web コンソールで、Operators Installed Operators に移動します。
  2. NetObserv OperatorProvided APIs という見出しの下で、Flow Collector を選択します。
  3. cluster を選択し、YAML タブを選択します。

  4. NetworkEvents の表示を有効にするには、FlowCollector CR を設定します。例:

    FlowCollector の設定例

    apiVersion: flows.netobserv.io/v1beta2
kind: FlowCollector
metadata:
  name: cluster
spec:
   agent:
    type: eBPF
    ebpf:
  #   sampling: 1
    1 
    
      privileged: true
    2 
    
      features:
       - "NetworkEvents"
    Copy to Clipboard Toggle word wrap

    1
    オプション: すべてのネットワークイベントをキャプチャーするために、sampling パラメーターの値は 1 に設定されます。サンプリング 1 ではリソースが多すぎる場合、サンプリングをニーズに合わせてより適切な値に設定します。
    2
    OVN observability ライブラリーはローカルの Open vSwitch (OVS) ソケットと OpenShift Virtual Network (OVN) データベースにアクセスする必要があるため、privileged パラメーターは true に設定されています。

検証

  1. Network Traffic ビューに移動し、Traffic flows テーブルを選択します。
  2. Network Events という新しい列が表示されます。ここでは、有効にしたネットワーク API (NetworkPolicyAdminNetworkPolicyBaselineNetworkPolicyUserDefinedNetwork の分離、マルチキャスト、Egress ファイアウォール) のいずれかがもたらす影響に関する情報を表示できます。

この列で確認できるイベントの kind の例は次のとおりです。

Network Events の出力例

<Dropped_or_Allowed> by <network_event_and_event_name>, direction <Ingress_or_Egress>
Copy to Clipboard Toggle word wrap

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat