6.3. ネットワークポリシーの生成
Kubernetes ネットワークポリシーは、受信ネットワークトラフィックを受信する Pod と、送信トラフィックを送信する Pod を制御します。ネットワークポリシーを使用して Pod へのトラフィックを有効にし、無効にすることで、ネットワークの攻撃エリアを制限できます。
これらのネットワークポリシーは YAML 設定ファイルです。通常、ネットワークフローに関するインサイトを得て、手動でこれらのファイルを作成するのは困難です。Red Hat Advanced Cluster Security for Kubernetes では、お使いの環境で実際に確認されたネットワーク通信フローに基づいて、これらのネットワークポリシーを自動生成できます。
ネットワークグラフビューからネットワークポリシーを生成できます。
生成されたポリシーは、ネットワークグラフに表示されるデプロイメントに適用され、選択した時間に確認されたすべてのネットワークトラフィックを許可します。
手順
- RHACS ポータルの左側のナビゲーションメニューから Network Graph を選択します。
- 正しいクラスター名がまだ選択されていない場合は、上部のバーのメニューからクラスター名を選択します。
- namespace を 1 つ以上選択します。
- 一部のデプロイメントに対してのみポリシーを生成する場合は、Add one or more deployment filters フィールドを使用して、デプロイメントをフィルターする基準を追加します。フィルターを追加しない場合には、Red Hat Advanced Cluster Security for Kubernetes はクラスター内のすべてのデプロイメントのポリシーを生成します。
- 上部のバーのメニューから適切な時間を選択します。選択した時間が短すぎると、定期的なネットワーク通信または頻度が低いネットワーク通信が残されます。
- Network Policy Simulator を選択します。
- 開いたパネルで、Red Hat Advanced Cluster Security for Kubernetes で生成されたポリシーでポートとプロトコルのスコープを設定しない場合は、Exclude ports & protocols を選択します。
- Generate and simulate network policies を選択します。生成されたネットワークポリシー設定 YAML が同じパネルで開き、ネットワークグラフにポリシーの効果が表示されます。
6.3.1. 生成されたポリシーの保存
生成されたネットワークポリシーは、Red Hat Advanced Cluster Security for Kubernetes からダウンロードして保存できます。このオプションを使用して、Git などのバージョン管理システムにポリシーをコミットします。
手順
- Network Policy Simulator パネルの Download YAML アイコンを選択します。