Отслеживать или регистрировать пропущенный сетевой трафик для Kubernetes NetworkPolicy
Я заинтересован в использовании Kubernetes NetworkPolicy для управления сетевой политикой. Я хочу знать, блокирует ли NetworkPolicy трафик, чтобы я мог либо исправить политики, либо исправить / остановить все, что нарушает.
Мы используем Calico, и они рассматривают это как платную функцию. https://github.com/projectcalico/calico/issues/1035
Ресничка имеет cilium monitor
Похоже, это будет работать, если мы начнем использовать Cilium. http://docs.cilium.io/en/latest/troubleshooting/
Существует ли общий, независимый от производителя способ мониторинга сетевого трафика, который нарушает Kuberenetes NetworkPolicy?
1 ответ
AFAIU, нет никакого способа создать такой независимый от производителя инструмент, потому что NetworkPolicy - просто абстракция. Каждый сетевой плагин применяет их по-своему (Cilium делает это в основном в BPF для L3 и L4 и Envoy для L7), поэтому каждый плагин должен предоставить свои собственные средства доступа к этой информации.
AFAIK, в сообществе Kubernetes нет инициативы хранить эту информацию и предоставлять интерфейс для плагинов CNI, чтобы предоставлять эту информацию, но кажется, что это будет забавный проект.
Отказ от ответственности: я в команде разработчиков Cilium.