Red Hat Summit7.3. 네트워크 그래프의 네트워크 기반 구성 정보
RHACS에서는 네트워크 기본 설정을 사용하여 위험을 최소화할 수 있습니다. 인프라를 안전하게 유지하기 위한 사전 예방적 접근 방식입니다. RHACS는 먼저 기존 네트워크 흐름을 검색하고 기준선을 생성한 다음 이 기준 외부로 네트워크 흐름을 비정상적인 것으로 처리합니다.
RHACS를 설치할 때 기본 네트워크 기준이 없습니다. RHACS는 네트워크 흐름을 검색하므로 기준선을 생성하고 다음 지침에 따라 검색된 모든 네트워크 흐름을 추가합니다.
- RHACS에서 새로운 네트워크 활동을 검색하면 해당 네트워크 흐름이 네트워크 기준선에 추가됩니다.
- 네트워크 흐름은 비정상적인 흐름으로 표시되지 않으며 위반을 트리거하지 않습니다.
검색 단계 후 다음 작업이 수행됩니다.
- RHACS는 네트워크 흐름을 네트워크 기준선에 추가하는 것을 중지합니다.
- 네트워크 기준선에 없는 새 네트워크 흐름은 비정상적인 흐름으로 표시되지만 위반을 트리거하지는 않습니다.
7.3.1. 네트워크 그래프에서 네트워크 기준 보기
네트워크 그래프 보기에서 네트워크 기준을 볼 수 있습니다.
프로세스
- 네임스페이스 목록을 클릭하고 검색 필드를 사용하여 네임스페이스를 검색하거나 개별 네임스페이스를 선택합니다.
- Deployments 목록을 클릭하고 search 필드를 사용하여 배포를 검색하거나 네트워크 그래프에 표시할 개별 배포를 선택합니다.
- 네트워크 그래프에서 배포를 클릭하여 정보 패널을 확인합니다.
- Baseline 탭을 선택합니다. 엔터티 이름 필드별 필터 를 사용하여 표시되는 흐름을 추가로 제한합니다.
선택 사항: 다음 작업 중 하나를 수행하여 기준 흐름을 비정상적인 것으로 표시할 수 있습니다.
-
개별 엔터티를 선택합니다. 오버플로 메뉴
를 클릭한 다음 불순 으로 표시 를 선택합니다.
- 여러 엔터티를 선택한 다음 Bulk 작업을 클릭하고 비정상적인 것으로 표시 를 선택합니다.
-
개별 엔터티를 선택합니다. 오버플로 메뉴
- 선택 사항: 포트 및 프로토콜을 제외하려면 상자를 선택합니다.
- 선택 사항: 기준값을 네트워크 정책 YAML 파일로 저장하려면 Download baseline as network policy 를 클릭합니다.
7.3.2. 네트워크 그래프에서 네트워크 기준 다운로드
네트워크 그래프 뷰에서 YAML 파일로 네트워크 기준을 다운로드할 수 있습니다.
프로세스
- RHACS 포털에서 네트워크 그래프로 이동합니다.
- 네임스페이스 목록을 클릭하고 검색 필드를 사용하여 네임스페이스를 검색하거나 개별 네임스페이스를 선택합니다.
- Deployments 목록을 클릭하고 search 필드를 사용하여 배포를 검색하거나 네트워크 그래프에 표시할 개별 배포를 선택합니다.
- 네트워크 그래프에서 배포를 클릭하여 정보 패널을 확인합니다.
- 베이스라인 탭에는 기준 흐름이 나열됩니다. 엔터티 이름 필드별 필터 를 사용하여 흐름 목록을 추가로 제한합니다.
- 선택 사항: 포트 및 프로토콜을 제외하려면 상자를 선택합니다.
- 네트워크 정책으로 기준 다운로드를 클릭합니다.
7.3.3. 네트워크 baselining 시간 프레임 구성
ROX_NETWORK_BASELINE_OBSERVATION_PERIOD 및 ROX_BASELINE_GENERATION_DURATION 환경 변수를 사용하여 관찰 기간 및 네트워크 기준 생성 기간을 구성할 수 있습니다.
프로세스
다음 명령을 실행하여
ROX_NETWORK_BASELINE_OBSERVATION_PERIOD환경 변수를 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc -n stackrox set env deploy/central \ ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value>
$ oc -n stackrox set env deploy/central \1 ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value>2 다음 명령을 실행하여
ROX_BASELINE_GENERATION_DURATION환경 변수를 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc -n stackrox set env deploy/central \ ROX_BASELINE_GENERATION_DURATION=<value>
$ oc -n stackrox set env deploy/central \1 ROX_BASELINE_GENERATION_DURATION=<value>2
7.3.4. 네트워크 그래프의 기준 위반에 대한 경고 활성화
비정상적인 네트워크 흐름을 감지하고 기준선에 없는 트래픽에 대한 위반을 트리거하도록 RHACS를 구성할 수 있습니다. 이렇게 하면 네트워크 정책으로 트래픽을 차단하기 전에 네트워크에 원하지 않는 트래픽이 포함되어 있는지 확인하는 데 도움이 될 수 있습니다.
프로세스
- 네임스페이스 목록을 클릭하고 검색 필드를 사용하여 네임스페이스를 검색하거나 개별 네임스페이스를 선택합니다.
- Deployments 목록을 클릭하고 search 필드를 사용하여 배포를 검색하거나 네트워크 그래프에 표시할 개별 배포를 선택합니다.
- 네트워크 그래프에서 배포를 클릭하여 정보 패널을 확인합니다.
- Baseline 탭에서는 기준 흐름을 볼 수 있습니다. 엔터티 이름 필드별 필터 를 사용하여 표시되는 흐름을 추가로 제한합니다.
기준 위반 옵션에서 경고를 전환합니다.
- 기본 위반 옵션에서 경고를 전환하면 비정상적인 네트워크 흐름으로 인해 위반이 트리거됩니다.
- 기본 위반 옵션에서 경고를 다시 전환하여 비정상적인 네트워크 흐름에 대한 위반을 수신하지 않을 수 있습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}