8.4. 네트워크 그래프 (1.0)
네트워크 그래프(1.0)는 RHACS 4.0에서 더 이상 사용되지 않으며 향후 릴리스에서 제거될 예정입니다.
8.4.1. 네트워크 그래프 정보 (1.0)
네트워크 그래프는 다음 항목에 대한 가시성과 제어를 제공합니다.
- Kubernetes 네트워크 정책에서 정의한 대로 허용된 네트워크 연결입니다.
- 네임스페이스 및 배포 간 활성 통신 경로입니다.
메뉴 모음에서 정보와 하나 이상의 네임스페이스를 볼 클러스터를 선택합니다.
네트워크 그래프에서는 표시하려는 연결 유형을 구성할 수 있습니다. 흐름 섹션에서 다음을 선택합니다.
- 활성 연결만 볼 수 있도록 활성 상태입니다.
- 허용된 네트워크 연결만 볼 수 있습니다.
- 모두 활성 및 허용된 네트워크 연결을 볼 수 있습니다.
네트워크 그래프에서 사용 중인 기호 및 의미에 대한 정보를 보려면 Legend 를 클릭합니다. 예시는 네트워크 그래프의 네임스페이스, 배포 및 연결을 나타내는 기호에 대한 설명 텍스트를 보여줍니다.
배포 또는 네임스페이스와 같은 네트워크 그래프의 항목을 클릭하면 추가 정보가 표시되는 창이 열립니다. 파란색 표시줄에서 화살표를 선택하여 창을 확장하고 축소할 수 있습니다.
연결을 마우스로 가리키면 활성 연결, 포트 번호 및 사용 중인 프로토콜을 포함하는 네트워크 흐름에 대한 정보가 표시됩니다. 배포를 마우스로 가리키면 수신 및 송신 연결, 프로토콜, 사용 중인 포트 번호 및 배포 간 네트워크 트래픽 방향에 대한 정보가 표시됩니다.
허용된 네트워크 연결
RHACS는 보안된 각 클러스터의 모든 네트워크 정책을 처리하여 어떤 배포가 서로 연락할 수 있고 외부 네트워크에 연결할 수 있는지 표시합니다.
네트워크 그래프는 가능한 네트워크 연결을 대시 라인으로 표시합니다.
실제 네트워크 흐름
RHACS는 실행 중인 배포를 모니터링하고 트래픽을 추적합니다. 네트워크 그래프는 관찰된 네트워크 흐름을 고체 라인으로 보여줍니다.
네트워크 기준
RHACS는 기존 네트워크 흐름을 검색하고 기준선을 생성합니다.
배포의 네트워크 기준을 보려면 네트워크 그래프에서 해당 배포를 선택합니다. 네트워크 흐름 세부 정보 패널에는 비정상적인 흐름과 기본 흐름이 모두 표시됩니다. 이 패널에서 다음 작업을 수행할 수 있습니다.
- Mark network flows from the baseline as anomalous.
- Baseline에 Add를 선택하여 비정상적인 흐름의 기준선에 네트워크 흐름을 추가합니다.
RHACS에서 가입 또는 떠나는 노드와 같은 네트워크 트래픽의 변경 사항을 감지하면 네트워크 그래프에 사용 가능한 업데이트 수를 보여주는 알림이 표시됩니다. 초점이 중단되지 않도록 그래프가 자동으로 업데이트되지 않습니다. 알림을 클릭하여 그래프를 업데이트합니다.
외부 엔티티 및 연결
네트워크 그래프는 관리 클러스터와 외부 소스 간의 네트워크 연결을 보여줍니다. 또한 RHACS는 Google Cloud, AWS, Microsoft Azure, Oracle Cloud 및 CloudEvent와 같은 CIDR(Classless Inter-Domain Routing) 주소 블록을 자동으로 검색하고 강조 표시합니다. 이 정보를 사용하여 활성 외부 연결을 사용하여 배포를 식별하고 네트워크 외부에서 권한이 없는 연결을 수행하거나 수신할지 여부를 결정할 수 있습니다.
기본적으로 외부 연결은 일반적인 외부 엔티티 상자와 네트워크 그래프의 다른 CIDR 주소 블록을 가리킵니다. 그러나 자동 검색 CIDR 블록을 표시하지 않도록 선택할 수 있습니다.
RHACS에는 다음 클라우드 공급자의 IP 범위가 포함됩니다.
- Google Cloud
- AWS(Amazon Web Services)
- Microsoft Azure
- Oracle Cloud
- Cloudflare
RHACS는 7일마다 클라우드 공급자의 IP 범위를 가져와서 업데이트합니다. CIDR 블록은 매일 업데이트됩니다. 오프라인 모드를 사용하는 경우 새 지원 패키지를 설치하여 이러한 범위를 업데이트할 수 있습니다.
8.4.1.1. 네트워크 정책 보기
네트워크 정책은 Pod 그룹이 서로 및 다른 네트워크 끝점과 통신할 수 있는 방법을 지정합니다. Kubernetes NetworkPolicy 리소스는 라벨을 사용하여 Pod를 선택하고 선택한 Pod에서 허용되는 트래픽을 지정하는 규칙을 정의합니다. Red Hat Advanced Cluster Security for Kubernetes는 네트워크 그래프에서 모든 Kubernetes 클러스터, 네임스페이스, 배포 및 Pod에 대한 네트워크 정책 정보를 검색하고 표시합니다.
네임스페이스의 배포에 대한 네트워크 정책 및 기타 관련 세부 정보를 보려면 네트워크 그래프에서 네임스페이스를 선택할 수 있습니다.
네임스페이스 세부 정보 패널은 선택한 네임스페이스의 모든 배포가 나열됩니다. 그런 다음 세부 정보 패널에서 배포를 커서 로 이동하고 배포 세부 정보를 볼 수 있는 오른쪽에 표시되는 배포로 이동 아이콘을 선택할 수 있습니다.
네트워크 그래프에서 배포를 직접 선택하여 세부 정보를 볼 수도 있습니다. 배포 세부 정보 패널에는 네트워크 흐름,세부 정보 및 네트워크 정책 탭이 포함됩니다.
각 탭을 선택하여 관련 정보를 볼 수 있습니다.
- 네트워크 흐름 탭에는 해당 배포에 사용되는 수신 및 송신 연결, 프로토콜 및 포트 번호에 대한 정보가 표시됩니다.
- Details 탭에는 오케스트레이터 라벨 및 주석을 포함하여 서비스 배포 방법에 대한 정보가 표시됩니다.
- 네트워크 정책 탭에는 배포에 적용되는 모든 네트워크 정책에 대한 정보가 표시됩니다.
수신 및 송신 연결, 프로토콜, 포트 번호 및 네트워크 트래픽 방향에 대한 정보를 보려면 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.47 이상이 필요합니다.
8.4.2. 네트워크 그래프(1.0)에서 CIDR 블록 구성
사용자 지정 CIDR 블록을 지정하거나 네트워크 그래프에서 자동 검색 CIDR 블록을 표시할 수 있습니다.
절차
- RHACS 포털에서 Network Graph(1.0) 로 이동한 다음 Configure CIDR Blocks 를 선택합니다.
네트워크 그래프에서 Display auto-discovered CIDR 블록을 토글 하여 자동 검색 CIDR 블록을 숨깁니다.
참고자동 검색 CIDR 블록을 숨기면 네트워크 그래프의 상단 표시줄에서 선택한 클러스터에 대해 자동 검색된 CIDR 블록이 표시되지 않습니다.
- CIDR 블록 이름 및 CIDR 주소를 추가하여 사용자 지정 CIDR 주소를 추가합니다. 둘 이상의 아이콘을 추가하려면 추가 아이콘을 선택합니다.
- 구성 업데이트를 클릭하여 변경 사항을 저장합니다.
8.4.3. 네트워크 그래프 (1.0)에서 네트워크 정책 시뮬레이션
현재 네트워크 정책으로 불필요한 네트워크 통신을 허용할 수 있습니다. 새로운 네트워크 정책 세트의 효과를 시뮬레이션하려면 네트워크 정책 시뮬레이터를 사용하십시오.
절차
- RHACS 포털에서 Network Graph(1.0) 로 이동합니다.
- 하나 이상의 네임스페이스를 선택합니다.
- 네트워크 그래프 헤더에서 네트워크 정책 시뮬레이터 를 선택합니다.
- 네트워크 정책 YAML 업로드 및 시뮬레이션 을 선택한 다음 제안된 YAML 파일을 업로드합니다. 네트워크 그래프 보기는 제안된 네트워크 정책의 결과를 표시합니다.
- 제안된 정책을 팀과 공유하려면 YAML 통합을 선택합니다.
정책을 직접 적용하려면 네트워크 정책 적용을 선택합니다.
주의네트워크 정책을 직접 적용하면 애플리케이션 실행에 문제가 발생할 수 있습니다. 항상 개발 환경에서 네트워크 정책을 다운로드하여 테스트하거나 프로덕션 워크로드에 적용하기 전에 클러스터를 테스트합니다.