红帽全球峰会第 8 章 管理网络策略
Kubernetes 网络策略 是一种规范,如何允许 pod 组相互通信和其他网络端点。这些网络策略配置为 YAML 文件。通过只查看这些文件,通常很难确定应用的网络策略是否达到所需的网络拓扑。
Red Hat Advanced Cluster Security for Kubernetes 从编配器收集所有定义的网络策略,并提供相应的功能,以便更轻松地使用这些策略。
为了支持网络策略强制,Red Hat Advanced Cluster Security for Kubernetes 提供:
- 网络图
- 网络策略模拟器
- 网络策略生成器
- 构建时网络策略生成器
8.1. 网络图视图
网络图提供可见性和控制:
- 允许的网络连接,如 Kubernetes 网络策略所定义。
- 命名空间和部署之间的活跃通信路径。
在菜单栏中,选择要查看信息和至少一个命名空间的集群。
在 Network Graph 视图中,您可以配置您要查看的连接类型。在 Flows 部分(左上),选择:
- Active 来只查看活跃的连接。
- Allowed 来只查看允许的网络连接。
- All 查看活跃的和允许的网络连接。
在 Network Graph 中,点 Legend 查看使用中的符号及其含义的信息。图例显示表示网络图中命名空间、部署和连接的符号的说明文本。
点 Network Graph 中的项目(如部署或命名空间)会打开显示更多信息的窗口。您可以通过选择蓝色栏中的箭头来扩展和折叠窗口。
将鼠标悬停在其中时:
- 一个连接,您会看到有关网络流的信息,其中包括活跃连接、端口号和协议。
- 部署,您可以看到有关入口和出口连接、协议、使用端口号的信息,以及部署间的网络流量方向。
允许的网络连接
Red Hat Advanced Cluster Security for Kubernetes 会处理每个安全集群中的所有网络策略,以显示哪些部署可以相互联系,并可以访问外部网络。
网络图以虚线的形式显示可能的网络连接。
实际网络流
Red Hat Advanced Cluster Security for Kubernetes 监控运行部署并跟踪它们之间的流量。网络图显示观察为固线的网络流。
网络基准
Red Hat Advanced Cluster Security for Kubernetes 发现现有的网络流并创建基准。
要查看部署的网络基准,请在 Network Graph 视图中选择该部署。Network Flows 详情面板显示异常和基准流。在这个面板中,您可以:
- 选择 Mark as Anomalous,将基准中的网络流标记为异常。
- 通过选择 Add to Baseline,将网络流添加到异常流中的基准。
外部实体和连接
Network Graph 视图显示受管集群和外部源之间的网络连接。另外,Red Hat Advanced Cluster Security for Kubernetes 会自动发现并突出显示公共无类别域间路由(CIDR)地址块,如 Google Cloud、AWS、Azure、Oracle Cloud 和 Cloudflare。使用此信息,您可以识别具有活跃外部连接的部署,并确定它们是否从网络外部创建或接收未授权连接。
默认情况下,外部连接会指向一个通用的外部实体框以及 Network Graph 视图中的不同 CIDR 地址块。但是,您可以选择不显示自动发现的 CIDR 块。
Red Hat Advanced Cluster Security for Kubernetes 包括以下云供应商的 IP 范围:
- Google Cloud
- AWS
- Azure
- Oracle Cloud
- Cloudflare
Red Hat Advanced Cluster Security for Kubernetes 每 7 天获取和更新云供应商的 IP 范围。如果您使用离线模式,可以通过安装新的支持软件包来更新这些范围。
其他资源
8.1.1. 查看网络策略
网络策略指定允许 pod 组相互通信和其他网络端点。Kubernetes NetworkPolicy 资源使用标签来选择 pod,并定义允许哪些流量从所选 pod 或所选 pod 的流量的规则。Red Hat Advanced Cluster Security for Kubernetes 发现并在 Network Graph 视图中显示所有 Kubernetes 集群、命名空间、部署和 pod 的网络策略信息。
要查看命名空间中部署的网络策略和其他相关详情,您可以在 Network Graph 视图中选择命名空间。
命名空间详情面板列出了所选命名空间中的所有部署。然后,您可以将鼠标悬停在详情面板中的部署上,然后选择右侧显示的 Navigate to deployment (箭头)图标来查看部署详情。
另外,您可以在 Network Graph 视图中选择部署来查看其详情。部署详情面板包括 Network Flows, Details, 和 Network Policies 标签页。
您可以选择每个标签页来查看相关信息。
- Network Flows 选项卡显示用于该部署的入口和出口连接、协议和端口号的信息。
- Details 选项卡显示如何部署该服务的信息,包括编配器标签和注解。
- Network Policies 选项卡显示应用到部署的每个网络策略的信息。
您需要 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.47 或更高版本来查看入口和出口连接、协议、端口号和网络流量方向的信息。
8.1.2. 配置 CIDR 块
您可以指定自定义 CIDR 块,或者在 Network Graph 视图中配置显示自动发现的 CIDR 块。
流程
- 在 Network Graph 视图中,选择 Configure CIDR Blocks。
在 Network Graph 切换中打开 Display auto-discovered CIDR 块,以隐藏自动发现的 CIDR 块。
注意当您隐藏自动发现的 CIDR 块时,所有集群都会隐藏自动发现的 CIDR 块,而不仅适用于 Network Graph 视图中顶栏中的所选集群。
- 通过添加 CIDR 块名称和 CIDR 地址来添加自定义 CIDR 地址。要添加多个,请选择 Add 图标。
- 单击 Update Configuration 以保存更改。
