第6章 ネットワークポリシーの管理

ネットワークグラフは、以下の可視性と制御を提供します。

メニューバーで、情報を表示するクラスターと 1 つ以上の namespace を選択します。

Network Graph ビューでは、表示する接続の種類を設定できます。Flows セクション (左上) で、以下を選択します。

ネットワークグラフでは、各円はデプロイメントを、周りのボックスは Kubernetes namespace を、それぞれの太い線は namespace 間の接続を表します。これらの項目にカーソルを合わせて詳細を表示できます。デプロイメントまたは namespace などの項目をクリックすると、追加情報を表示するウィンドウが開きます。ウィンドウを展開したり折りたたんだりするには、青いバーの矢印を選択します。

ネットワークグラフの他のシンボルの意味を理解するには、凡例 (左下) の他のシンボルにマウスを移動して、これらのシンボルの意味を示すヒントを表示します。

以下にカーソルを合わせると、各種情報が表示されます。

許可されるネットワーク接続

Red Hat Advanced Cluster Security for Kubernetes は、セキュリティーが保護された各クラスターの全ネットワークポリシーを処理し、どのデプロイメントが相互に通信できるか、またどのデプロイメントが外部ネットワークに到達できる化を表示します。

ネットワークグラフは、可能なネットワーク接続を点線として表示します。

実際のネットワークフロー

Red Hat Advanced Cluster Security for Kubernetes は実行中のデプロイメントを監視し、それらの間のトラフィックを追跡します。ネットワークグラフは、確認されるネットワークフローを実線として表示します。

ネットワークベースライン

Red Hat Advanced Cluster Security for Kubernetes は既存のネットワークフローを検出し、ベースラインを作成します。

デプロイメントのネットワークベースラインを表示するには、Network Graph ビューでそのデプロイメントを選択します。ネットワークフローの詳細パネル には、異常なフローとベースラインフローの両方が表示されます。このパネルから、以下を行うことができます。

外部エンティティーおよび接続

Network Graph ビューには、マネージドクラスターと外部ソース間のネットワーク接続に関する情報が表示されます。Red Hat Advanced Cluster Security for Kubernetes は、Google Cloud、AWS、Azure、Oracle Cloud、Cloudflare などのパブリック CIDR (Classless Inter-Domain Routing) アドレスブロックを自動的に検出して強調表示します。この情報を使用して、アクティブな外部接続があるデプロイメントを特定し、ネットワークの外部から不正な接続を確立または受信しているかどうかを識別できます。

デフォルトでは、外部接続は共通の外部 エンティティーボックス と、Network Graph ビューで異なる CIDR アドレスブロックを参照します。ただし、自動検出した CIDR ブロックを表示しないように選択できます。

Red Hat Advanced Cluster Security for Kubernetes には、以下のクラウドプロバイダーの IP 範囲が含まれます。

Red Hat Advanced Cluster Security for Kubernetes は、7 日ごとにクラウドプロバイダーの IP 範囲を取得して更新します。オフラインモードを使用している場合は、新しいサポートパッケージをインストールしてこれらの範囲を更新できます。