8.3. 关于网络图中的网络基础
在 RHACS 中,您可以使用网络基础来最小化风险。这是保持基础架构安全的主动方法。RHACS 首先发现现有的网络流并创建基准,然后将这个基准之外的网络流视为异常。
安装 RHACS 时,没有默认网络基准。当 RHACS 发现网络流时,它会创建一个基准,然后它会将所有发现的网络流添加到其中,遵循以下准则:
- 当 RHACS 发现新的网络活动时,它会将该网络流添加到网络基准中。
- 网络流没有显示为异常流,且不会触发任何违反情况。
在发现阶段后,会执行以下操作:
- RHACS 停止在网络基准中添加网络流。
- 不在网络基准中的新网络流显示为异常流,但它们不触发任何违反情况。
8.3.1. 从网络图查看网络基准
您可以从网络图形视图查看网络基准。
流程
- 点 Namespaces 列表,并使用搜索字段找到命名空间,或选择单独的命名空间。
- 单击 Deployments 列表,并使用搜索字段查找部署,或者选择要在网络图中显示的单个部署。
- 在网络图中,点部署来查看信息面板。
- 选择 Baseline 选项卡。使用 根据实体名称字段 的过滤器来进一步限制显示的流。
可选:您可以通过执行以下操作之一将基准流标记为异常:
-
选择单个实体。点 overflow 菜单
,然后选择 Mark as anomalous。
- 选择多个实体,然后单击 Bulk 操作,然后选择 Mark as anomalous。
-
选择单个实体。点 overflow 菜单
- 可选:选中用于排除端口和协议的框。
- 可选: 要将基准保存为网络策略 YAML 文件,请点击 Download baseline 作为网络策略。
8.3.2. 从网络图下载网络基准
您可以从网络图形视图下载网络基准作为 YAML 文件。
流程
- 在 RHACS 门户中,进入 网络图。
- 点 Namespaces 列表,并使用搜索字段找到命名空间,或选择单独的命名空间。
- 单击 Deployments 列表,并使用搜索字段查找部署,或者选择要在网络图中显示的单个部署。
- 在网络图中,点部署来查看信息面板。
- Baseline 选项卡列出了基准流。使用 根据实体名称字段 的过滤器来进一步限制流列表。
- 可选:选中用于排除端口和协议的框。
- 点 Download baseline 作为网络策略。
8.3.3. 配置网络基础时间线
您可以使用 ROX_NETWORK_BASELINE_OBSERVATION_PERIOD 和 ROX_BASELINE_GENERATION_DURATION 环境变量来配置观察周期和网络基准生成持续时间。
流程
运行以下命令,设置
ROX_NETWORK_BASELINE_OBSERVATION_PERIOD环境变量:$ oc -n stackrox set env deploy/central \1 ROX_NETWORK_BASELINE_OBSERVATION_PERIOD=<value> 2
运行以下命令,设置
ROX_BASELINE_GENERATION_DURATION环境变量:$ oc -n stackrox set env deploy/central \1 ROX_BASELINE_GENERATION_DURATION=<value> 2
8.3.4. 在网络图中启用基准违反情况的警报
您可以配置 RHACS 来检测异常网络流,并为不在基准中的流量触发违反情况。这有助于您在使用网络策略阻止流量前确定网络是否包含不需要的流量。
流程
- 点 Namespaces 列表,并使用搜索字段找到命名空间,或选择单独的命名空间。
- 单击 Deployments 列表,并使用搜索字段查找部署,或者选择要在网络图中显示的单个部署。
- 在网络图中,点部署来查看信息面板。
- 在 Baseline 选项卡中,您可以查看基准流。使用 根据实体名称字段 的过滤器来进一步限制显示的流。
在 基准违反选项上切换 Alert。
- 在切换 Alert on baseline violations 选项后,异常网络流会触发违反情况。
- 您可以再次切换 Alert on baseline violations 选项,以停止接收异常网络流的违反情况。
