8.4. ネットワークグラフ (1.0)
ネットワークグラフ (1.0) は RHACS 4.0 で非推奨となり、将来のリリースで削除される予定です。
8.4.1. ネットワークグラフ (1.0) について
ネットワークグラフは以下の項目を可視化および制御できます。
- Kubernetes ネットワークポリシーで定義済みの、許可されるネットワーク接続。
- namespace とデプロイメント間でアクティブな通信パス。
メニューバーで、情報を表示するクラスターと 1 つ以上の namespace を選択します。
ネットワークグラフでは、表示する接続のタイプを設定できます。Flows セクションで、次を選択します。
- Active: アクティブな接続のみを表示する。
- Allowed: 許可されるネットワーク接続のみを表示する。
- All をクリックすると、アクティブで許可されたネットワーク接続が表示されます。
ネットワークグラフで Legend をクリックすると、使用されているシンボルとその意味に関する情報が表示されます。legend には、ネットワークグラフ上の namespace、デプロイ、および接続を表す記号の説明テキストが表示されます。
デプロイメントや namespace など、ネットワークグラフ内の項目をクリックすると、追加情報を表示するウィンドウが開きます。青いバーの矢印を選択すると、ウィンドウを展開したり折りたたんだりできます。
接続の上にマウスを置くと、アクティブな接続、ポート番号、使用中のプロトコルなどのネットワークフローに関する情報が表示されます。デプロイメントの上にマウスを置くと、イングレスおよびエグレス接続、プロトコル、使用中のポート番号、およびデプロイメント間のネットワークトラフィックの方向に関する情報が表示されます。
許可されるネットワーク接続
RHACS は、それぞれのセキュアなクラスター内のすべてのネットワークポリシーを処理して、どのデプロイメントが相互に通信できるか、またどのデプロイメントが外部ネットワークに到達できるかを示します。
ネットワークグラフは、可能なネットワーク接続を点線として表示します。
実際のネットワークフロー
RHACS は、実行中のデプロイメントを監視し、デプロイメント間のトラフィックを追跡します。ネットワークグラフは、確認されるネットワークフローを実線として表示します。
ネットワークベースライン
RHACS は既存のネットワークフローを検出し、ベースラインを作成します。
デプロイメントのネットワークベースラインを表示するには、ネットワークグラフでそのデプロイメントを選択します。ネットワークフローの詳細パネル には、異常なフローとベースラインフローの両方が表示されます。このパネルから、次のアクションを実行できます。
- Mark as Anomalous を選択して、ベースラインからネットワークフローを異常なものとしてマーク付けします。
- Add to Baseline を選択して、異常なフローからネットワークフローをベースラインに追加します。
RHACS がノードの参加または離脱など、ネットワークトラフィックの変化を検出すると、利用可能な更新の数を示す通知がネットワークグラフに表示されます。集中力が中断されないように、グラフは自動的には更新されません。通知をクリックしてグラフを更新します。
外部エンティティーおよび接続
ネットワークグラフは、マネージドクラスターと外部ソースの間のネットワーク接続を示します。さらに、RHACS は、Google Cloud、AWS、Microsoft Azure、Oracle Cloud、Cloudflare などのパブリッククラスレスドメイン間ルーティング (CIDR) アドレスブロックを自動的に検出して強調表示します。この情報を使用すると、アクティブな外部接続のあるデプロイメントを特定し、ネットワークの外部から不正な接続を行っているかどうかを判断できます。
デフォルトでは、外部接続はネットワークグラフ内の共通の External Entities ボックスと異なる CIDR アドレスブロックを指します。ただし、自動検出した CIDR ブロックを表示しないように選択できます。
RHACS には、次のクラウドプロバイダーの IP 範囲が含まれています。
- Google Cloud
- Amazon Web Services (AWS)
- Microsoft Azure
- Oracle Cloud
- Cloudflare
RHACS はクラウドプロバイダーの IP 範囲を 7 日ごとに取得して更新し、CIDR ブロックは毎日更新されます。オフラインモードを使用している場合は、新しいサポートパッケージをインストールしてこれらの範囲を更新できます。
8.4.1.1. ネットワークポリシーの表示
ネットワークポリシーでは、Pod のグループ間および他のネットワークのエンドポイントとの間で許可される通信を指定します。Kubernetes NetworkPolicy リソースはラベルを使用して Pod を選択し、選択した Pod との間で許可されるトラフィックを指定するルールを定義します。Red Hat Advanced Cluster Security for Kubernetes は、すべての Kubernetes クラスター、namespace、デプロイメント、および Pod のネットワークポリシー情報を検出し、ネットワークグラフに表示します。
namespace 内のデプロイメントのネットワークポリシーやその他の関連詳細を表示するには、ネットワークグラフで namespace を選択します。
namespace 詳細パネルには、選択した namespace のすべてのデプロイメントが一覧表示されます。次に、詳細パネルでデプロイメントにマウスを移動し、右側に表示される Navigate to deployment アイコンを選択すると、デプロイメントの詳細が表示されます。
ネットワークグラフでデプロイメントを直接選択して、その詳細を表示することもできます。デプロイメントの詳細パネルには、Network Flows タブ、Details タブ、および Network Policies タブが含まれます。
各タブを選択して、関連情報を表示できます。
- Network Flows タブには、そのデプロイメントのイングレスおよびエグレス接続、プロトコル、および使用中のポート番号に関する情報が表示されます。
- Details タブには、オーケストレーターのラベルやアノテーションなど、サービスのデプロイ方法に関する情報が表示されます。
- Network Policies タブには、デプロイメントに適用されるすべてのネットワークポリシーに関する情報が表示されます。
イングレスおよびエグレス接続、プロトコル、ポート番号、およびネットワークトラフィックの方向に関する情報を表示するには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.47 以降が必要です。
8.4.2. ネットワークグラフ (1.0) での CIDR ブロックの設定
カスタム CIDR ブロックを指定したり、ネットワークグラフに自動検出された CIDR ブロックを表示するように設定したりできます。
手順
- RHACS ポータルで、Network Graph (1.0) に移動し、Configure CIDR Blocks を選択します。
Display auto-discovered CIDR blocks in Network Graph オプションを切り替えて、自動検出された CIDR ブロックを非表示にします。
注記自動検出された CIDR ブロックを非表示にすると、ネットワークグラフの上部のバーで選択したクラスターだけでなく、すべてのクラスターに対して自動検出された CIDR ブロックが非表示になります。
- CIDR Block Name と CIDR Address を追加して、カスタム CIDR アドレスを追加します。複数のを追加するには、Add アイコンを選択します。
- 設定の更新 をクリックして変更を保存します。
8.4.3. ネットワークグラフ (1.0) からのネットワークポリシーのシミュレーション
現在のネットワークポリシーでは、不要なネットワーク通信が許可される可能性があります。新しいネットワークポリシーのセットの影響をシミュレートするには、ネットワークポリシーシミュレーターを使用します。
手順
- RHACS ポータルで、Network Graph (1.0) に移動します。
- namespace を 1 つ以上選択します。
- ネットワークグラフのヘッダーで、Network Policy Simulator を選択します。
- Upload and simulate network policy YAML を選択し、提案された YAML ファイルをアップロードします。ネットワークグラフビューには、提案されたネットワークポリシーが何を達成するかが表示されます。
- 提案されたポリシーをチームと共有するには、Share YAML を選択します。
ポリシーを直接適用するには、Apply Network Policies を選択します。
警告ネットワークポリシーを直接適用すると、アプリケーションの実行で問題が発生する可能性があります。実稼働環境のワークロードに適用する前に、常に開発環境またはテストクラスターでネットワークポリシーをダウンロードし、テストします。