8.4. 网络图(1.0)
网络图(1.0)在 RHACS 4.0 中已弃用,并计划在以后的发行版本中删除。
8.4.1. 关于网络图(1.0)
网络图提供对以下项目的可见性和控制:
- 允许的网络连接,如 Kubernetes 网络策略所定义。
- 命名空间和部署之间的活跃通信路径。
在菜单栏中,选择要查看信息和至少一个命名空间的集群。
在网络图中,您可以配置您要查看的连接类型。在 Flows 部分中,选择:
- Active 来只查看活跃的连接。
- Allowed 来只查看允许的网络连接。
- All 查看活跃的和允许的网络连接。
在网络图中,单击 Legend 以查看正在使用的符号及其含义信息。图例显示表示网络图中命名空间、部署和连接的符号的说明文本。
点击网络图中的项目,如部署或命名空间,会打开显示其他信息的窗口。您可以通过选择蓝色栏中的箭头来扩展和折叠窗口。
将鼠标悬停在连接上时,您会看到有关网络流的信息,其中包括活跃连接、端口号和协议。将鼠标悬停在部署上时,您会看到入口和出口连接、协议、使用的端口号以及部署间网络流量的信息。
允许的网络连接
RHACS 处理每个安全集群中的所有网络策略,以显示哪些部署可以相互联系,并可以访问外部网络。
网络图以虚线的形式显示可能的网络连接。
实际网络流
RHACS 监控运行部署并跟踪它们之间的流量。网络图显示观察为固线的网络流。
网络基准
RHACS 发现现有的网络流并创建一个基准。
要查看部署的网络基准,请在网络图中选择该部署。Network Flows 详情面板显示异常和基准流。在这个面板中,您可以执行以下操作:
- 选择 Mark as Anomalous,将基准中的网络流标记为异常。
- 通过选择 Add to Baseline,将网络流添加到异常流中的基准。
当 RHACS 检测到网络流量(如加入或离开的节点)时,网络图会显示显示可用更新数量的通知。为了避免中断您的关注,图不会自动更新。点通知来更新图形。
外部实体和连接
网络图显示受管集群和外部源之间的网络连接。另外,RHACS 会自动发现并突出显示公共无类别域间路由(CIDR)地址块,如 Google Cloud、AWS、Microsoft Azure、Oracle Cloud 和 Cloudflare。使用此信息,您可以识别具有活跃外部连接的部署,并决定是否从网络外部创建或接收未授权连接。
默认情况下,外部连接指向一个通用的 外部实体 框,以及网络图中的不同 CIDR 地址块。但是,您可以选择不显示自动发现的 CIDR 块。
RHACS 包括以下云供应商的 IP 范围:
- Google Cloud
- Amazon Web Services (AWS)
- Microsoft Azure
- Oracle Cloud
- Cloudflare
RHACS 每 7 天获取和更新云供应商的 IP 范围,每天更新 CIDR 块。如果您使用离线模式,可以通过安装新的支持软件包来更新这些范围。
8.4.1.1. 查看网络策略
网络策略指定允许 pod 组相互通信和其他网络端点。Kubernetes NetworkPolicy 资源使用标签来选择 pod,并定义允许哪些流量从所选 pod 或所选 pod 的流量的规则。Red Hat Advanced Cluster Security for Kubernetes 发现并在网络图中显示所有 Kubernetes 集群、命名空间、部署和 pod 的网络策略信息。
要查看命名空间中的部署的网络策略和其他相关详情,您可以在网络图中选择命名空间。
命名空间详情面板列出了所选命名空间中的所有部署。然后,您可以将鼠标悬停在详情面板中的部署上,然后选择右侧显示的 Navigate to deployment 图标来查看部署详情。
您也可以直接在网络图中选择一个部署来查看其详情。部署详情面板包括 Network Flows, Details, 和 Network Policies 标签页。
您可以选择每个标签页来查看相关信息。
- Network Flows 选项卡显示用于该部署的入口和出口连接、协议和端口号的信息。
- Details 选项卡显示如何部署该服务的信息,包括编配器标签和注解。
- Network Policies 选项卡显示应用到部署的每个网络策略的信息。
您需要 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.47 或更高版本来查看入口和出口连接、协议、端口号和网络流量方向的信息。
8.4.2. 在网络图形(1.0)中配置 CIDR 块
您可以指定自定义 CIDR 块,或者配置在网络图中自动发现的 CIDR 块。
流程
- 在 RHACS 门户中,进入到 Network Graph (1.0),然后选择 Configure CIDR Blocks。
切换 Network Graph 选项中的 Display auto-discovered CIDR 块 来隐藏自动发现的 CIDR 块。
注意当您隐藏自动发现的 CIDR 块时,所有集群都会隐藏自动发现的 CIDR 块,而不仅仅是网络图中顶栏上所选集群。
- 通过添加 CIDR 块名称和 CIDR 地址来添加自定义 CIDR 地址。要添加多个,请选择 Add 图标。
- 单击 Update Configuration 以保存更改。
8.4.3. 从网络图(1.0)模拟网络策略
您当前的网络策略可能允许不需要的网络通信。要模拟一组新网络策略的影响,请使用网络策略模拟器。
流程
- 在 RHACS 门户中,进入到 Network Graph (1.0)。
- 选择一个或多个命名空间。
- 在网络图标头中选择 Network Policy Simulator。
- 选择 Upload and simulate network policy YAML,然后上传您提议的 YAML 文件。网络图视图显示您提议的网络策略将达到什么。
- 要与您的团队共享您的建议策略,请选择 Share YAML。
要直接应用您的策略,请选择 Apply Network Policies。
警告直接应用网络策略可能会导致运行应用程序出现问题。在将网络策略应用到生产工作负载之前,始终在开发环境或测试集群中下载并测试网络策略。