8.4. 网络图(1.0)

网络图(1.0)在 RHACS 4.0 中已弃用,并计划在以后的发行版本中删除。

8.4.1. 关于网络图(1.0)

网络图提供对以下项目的可见性和控制:

  • 允许的网络连接,如 Kubernetes 网络策略所定义。
  • 命名空间和部署之间的活跃通信路径。

在菜单栏中,选择要查看信息和至少一个命名空间的集群。

在网络图中,您可以配置您要查看的连接类型。在 Flows 部分中,选择:

  • Active 来只查看活跃的连接。
  • Allowed 来只查看允许的网络连接。
  • All 查看活跃的和允许的网络连接。

在网络图中,单击 Legend 以查看正在使用的符号及其含义信息。图例显示表示网络图中命名空间、部署和连接的符号的说明文本。

点击网络图中的项目,如部署或命名空间,会打开显示其他信息的窗口。您可以通过选择蓝色栏中的箭头来扩展和折叠窗口。

将鼠标悬停在连接上时,您会看到有关网络流的信息,其中包括活跃连接、端口号和协议。将鼠标悬停在部署上时,您会看到入口和出口连接、协议、使用的端口号以及部署间网络流量的信息。

允许的网络连接

RHACS 处理每个安全集群中的所有网络策略,以显示哪些部署可以相互联系,并可以访问外部网络。

网络图以虚线的形式显示可能的网络连接。

实际网络流

RHACS 监控运行部署并跟踪它们之间的流量。网络图显示观察为固线的网络流。

网络基准

RHACS 发现现有的网络流并创建一个基准。

要查看部署的网络基准,请在网络图中选择该部署。Network Flows 详情面板显示异常和基准流。在这个面板中,您可以执行以下操作:

  • 选择 Mark as Anomalous,将基准中的网络流标记为异常。
  • 通过选择 Add to Baseline,将网络流添加到异常流中的基准。

当 RHACS 检测到网络流量(如加入或离开的节点)时,网络图会显示显示可用更新数量的通知。为了避免中断您的关注,图不会自动更新。点通知来更新图形。

外部实体和连接

网络图显示受管集群和外部源之间的网络连接。另外,RHACS 会自动发现并突出显示公共无类别域间路由(CIDR)地址块,如 Google Cloud、AWS、Microsoft Azure、Oracle Cloud 和 Cloudflare。使用此信息,您可以识别具有活跃外部连接的部署,并决定是否从网络外部创建或接收未授权连接。

默认情况下,外部连接指向一个通用的 外部实体 框,以及网络图中的不同 CIDR 地址块。但是,您可以选择不显示自动发现的 CIDR 块。

RHACS 包括以下云供应商的 IP 范围:

  • Google Cloud
  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud
  • Cloudflare

RHACS 每 7 天获取和更新云供应商的 IP 范围,每天更新 CIDR 块。如果您使用离线模式,可以通过安装新的支持软件包来更新这些范围。

8.4.1.1. 查看网络策略

网络策略指定允许 pod 组相互通信和其他网络端点。Kubernetes NetworkPolicy 资源使用标签来选择 pod,并定义允许哪些流量从所选 pod 或所选 pod 的流量的规则。Red Hat Advanced Cluster Security for Kubernetes 发现并在网络图中显示所有 Kubernetes 集群、命名空间、部署和 pod 的网络策略信息。

要查看命名空间中的部署的网络策略和其他相关详情,您可以在网络图中选择命名空间。

命名空间详情面板列出了所选命名空间中的所有部署。然后,您可以将鼠标悬停在详情面板中的部署上,然后选择右侧显示的 Navigate to deployment 图标来查看部署详情。

您也可以直接在网络图中选择一个部署来查看其详情。部署详情面板包括 Network Flows, Details, 和 Network Policies 标签页。

您可以选择每个标签页来查看相关信息。

  • Network Flows 选项卡显示用于该部署的入口和出口连接、协议和端口号的信息。
  • Details 选项卡显示如何部署该服务的信息,包括编配器标签和注解。
  • Network Policies 选项卡显示应用到部署的每个网络策略的信息。
注意

您需要 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.47 或更高版本来查看入口和出口连接、协议、端口号和网络流量方向的信息。

8.4.2. 在网络图形(1.0)中配置 CIDR 块

您可以指定自定义 CIDR 块,或者配置在网络图中自动发现的 CIDR 块。

流程

  1. 在 RHACS 门户中,进入到 Network Graph (1.0),然后选择 Configure CIDR Blocks
  2. 切换 Network Graph 选项中的 Display auto-discovered CIDR 块 来隐藏自动发现的 CIDR 块。

    注意

    当您隐藏自动发现的 CIDR 块时,所有集群都会隐藏自动发现的 CIDR 块,而不仅仅是网络图中顶栏上所选集群。

  3. 通过添加 CIDR 块名称和 CIDR 地址来添加自定义 CIDR 地址。要添加多个,请选择 Add 图标。
  4. 单击 Update Configuration 以保存更改。

8.4.3. 从网络图(1.0)模拟网络策略

您当前的网络策略可能允许不需要的网络通信。要模拟一组新网络策略的影响,请使用网络策略模拟器。

流程

  1. 在 RHACS 门户中,进入到 Network Graph (1.0)
  2. 选择一个或多个命名空间。
  3. 在网络图标头中选择 Network Policy Simulator
  4. 选择 Upload and simulate network policy YAML,然后上传您提议的 YAML 文件。网络图视图显示您提议的网络策略将达到什么。
  5. 要与您的团队共享您的建议策略,请选择 Share YAML
  6. 要直接应用您的策略,请选择 Apply Network Policies

    警告

    直接应用网络策略可能会导致运行应用程序出现问题。在将网络策略应用到生产工作负载之前,始终在开发环境或测试集群中下载并测试网络策略。