8.4. ネットワークグラフ (1.0)

ネットワークグラフ (1.0) は RHACS 4.0 で非推奨となり、将来のリリースで削除される予定です。

8.4.1. ネットワークグラフ (1.0) について

ネットワークグラフは以下の項目を可視化および制御できます。

  • Kubernetes ネットワークポリシーで定義済みの、許可されるネットワーク接続。
  • namespace とデプロイメント間でアクティブな通信パス。

メニューバーで、情報を表示するクラスターと 1 つ以上の namespace を選択します。

ネットワークグラフでは、表示する接続のタイプを設定できます。Flows セクションで、次を選択します。

  • Active: アクティブな接続のみを表示する。
  • Allowed: 許可されるネットワーク接続のみを表示する。
  • All をクリックすると、アクティブで許可されたネットワーク接続が表示されます。

ネットワークグラフで Legend をクリックすると、使用されているシンボルとその意味に関する情報が表示されます。legend には、ネットワークグラフ上の namespace、デプロイ、および接続を表す記号の説明テキストが表示されます。

デプロイメントや namespace など、ネットワークグラフ内の項目をクリックすると、追加情報を表示するウィンドウが開きます。青いバーの矢印を選択すると、ウィンドウを展開したり折りたたんだりできます。

接続の上にマウスを置くと、アクティブな接続、ポート番号、使用中のプロトコルなどのネットワークフローに関する情報が表示されます。デプロイメントの上にマウスを置くと、イングレスおよびエグレス接続、プロトコル、使用中のポート番号、およびデプロイメント間のネットワークトラフィックの方向に関する情報が表示されます。

許可されるネットワーク接続

RHACS は、それぞれのセキュアなクラスター内のすべてのネットワークポリシーを処理して、どのデプロイメントが相互に通信できるか、またどのデプロイメントが外部ネットワークに到達できるかを示します。

ネットワークグラフは、可能なネットワーク接続を点線として表示します。

実際のネットワークフロー

RHACS は、実行中のデプロイメントを監視し、デプロイメント間のトラフィックを追跡します。ネットワークグラフは、確認されるネットワークフローを実線として表示します。

ネットワークベースライン

RHACS は既存のネットワークフローを検出し、ベースラインを作成します。

デプロイメントのネットワークベースラインを表示するには、ネットワークグラフでそのデプロイメントを選択します。ネットワークフローの詳細パネル には、異常なフローとベースラインフローの両方が表示されます。このパネルから、次のアクションを実行できます。

  • Mark as Anomalous を選択して、ベースラインからネットワークフローを異常なものとしてマーク付けします。
  • Add to Baseline を選択して、異常なフローからネットワークフローをベースラインに追加します。

RHACS がノードの参加または離脱など、ネットワークトラフィックの変化を検出すると、利用可能な更新の数を示す通知がネットワークグラフに表示されます。集中力が中断されないように、グラフは自動的には更新されません。通知をクリックしてグラフを更新します。

外部エンティティーおよび接続

ネットワークグラフは、マネージドクラスターと外部ソースの間のネットワーク接続を示します。さらに、RHACS は、Google Cloud、AWS、Microsoft Azure、Oracle Cloud、Cloudflare などのパブリッククラスレスドメイン間ルーティング (CIDR) アドレスブロックを自動的に検出して強調表示します。この情報を使用すると、アクティブな外部接続のあるデプロイメントを特定し、ネットワークの外部から不正な接続を行っているかどうかを判断できます。

デフォルトでは、外部接続はネットワークグラフ内の共通の External Entities ボックスと異なる CIDR アドレスブロックを指します。ただし、自動検出した CIDR ブロックを表示しないように選択できます。

RHACS には、次のクラウドプロバイダーの IP 範囲が含まれています。

  • Google Cloud
  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud
  • Cloudflare

RHACS はクラウドプロバイダーの IP 範囲を 7 日ごとに取得して更新し、CIDR ブロックは毎日更新されます。オフラインモードを使用している場合は、新しいサポートパッケージをインストールしてこれらの範囲を更新できます。

8.4.1.1. ネットワークポリシーの表示

ネットワークポリシーでは、Pod のグループ間および他のネットワークのエンドポイントとの間で許可される通信を指定します。Kubernetes NetworkPolicy リソースはラベルを使用して Pod を選択し、選択した Pod との間で許可されるトラフィックを指定するルールを定義します。Red Hat Advanced Cluster Security for Kubernetes は、すべての Kubernetes クラスター、namespace、デプロイメント、および Pod のネットワークポリシー情報を検出し、ネットワークグラフに表示します。

namespace 内のデプロイメントのネットワークポリシーやその他の関連詳細を表示するには、ネットワークグラフで namespace を選択します。

namespace 詳細パネルには、選択した namespace のすべてのデプロイメントが一覧表示されます。次に、詳細パネルでデプロイメントにマウスを移動し、右側に表示される Navigate to deployment アイコンを選択すると、デプロイメントの詳細が表示されます。

ネットワークグラフでデプロイメントを直接選択して、その詳細を表示することもできます。デプロイメントの詳細パネルには、Network Flows タブ、Details タブ、および Network Policies タブが含まれます。

各タブを選択して、関連情報を表示できます。

  • Network Flows タブには、そのデプロイメントのイングレスおよびエグレス接続、プロトコル、および使用中のポート番号に関する情報が表示されます。
  • Details タブには、オーケストレーターのラベルやアノテーションなど、サービスのデプロイ方法に関する情報が表示されます。
  • Network Policies タブには、デプロイメントに適用されるすべてのネットワークポリシーに関する情報が表示されます。
注記

イングレスおよびエグレス接続、プロトコル、ポート番号、およびネットワークトラフィックの方向に関する情報を表示するには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.47 以降が必要です。

8.4.2. ネットワークグラフ (1.0) での CIDR ブロックの設定

カスタム CIDR ブロックを指定したり、ネットワークグラフに自動検出された CIDR ブロックを表示するように設定したりできます。

手順

  1. RHACS ポータルで、Network Graph (1.0) に移動し、Configure CIDR Blocks を選択します。
  2. Display auto-discovered CIDR blocks in Network Graph オプションを切り替えて、自動検出された CIDR ブロックを非表示にします。

    注記

    自動検出された CIDR ブロックを非表示にすると、ネットワークグラフの上部のバーで選択したクラスターだけでなく、すべてのクラスターに対して自動検出された CIDR ブロックが非表示になります。

  3. CIDR Block NameCIDR Address を追加して、カスタム CIDR アドレスを追加します。複数のを追加するには、Add アイコンを選択します。
  4. 設定の更新 をクリックして変更を保存します。

8.4.3. ネットワークグラフ (1.0) からのネットワークポリシーのシミュレーション

現在のネットワークポリシーでは、不要なネットワーク通信が許可される可能性があります。新しいネットワークポリシーのセットの影響をシミュレートするには、ネットワークポリシーシミュレーターを使用します。

手順

  1. RHACS ポータルで、Network Graph (1.0) に移動します。
  2. namespace を 1 つ以上選択します。
  3. ネットワークグラフのヘッダーで、Network Policy Simulator を選択します。
  4. Upload and simulate network policy YAML を選択し、提案された YAML ファイルをアップロードします。ネットワークグラフビューには、提案されたネットワークポリシーが何を達成するかが表示されます。
  5. 提案されたポリシーをチームと共有するには、Share YAML を選択します。
  6. ポリシーを直接適用するには、Apply Network Policies を選択します。

    警告

    ネットワークポリシーを直接適用すると、アプリケーションの実行で問題が発生する可能性があります。実稼働環境のワークロードに適用する前に、常に開発環境またはテストクラスターでネットワークポリシーをダウンロードし、テストします。