Как проверить конфигурацию / поддержку сетевой политики кластера

Я пытаюсь выяснить, какой лучший подход для проверки конфигурации сетевой политики для данного кластера. Согласно документации

Сетевые политики реализуются сетевым плагином, поэтому вы должны использовать сетевое решение, которое поддерживает NetworkPolicy - простое создание ресурса без контроллера для его реализации не будет иметь никакого эффекта.

Предполагая, что у меня есть доступ к моему кластеру только через kubectl, что мне делать, чтобы обеспечить соблюдение ресурса сетевой политики, развернутого в кластере?

Мне известно о доступных CNI и связанных возможностях матрицы .
Я знаю, что вы можете проверить модуль, развернутый в системе kube, который связан с этими CNI, и проверить соответствующие возможности, используя, например,. матрица, которой я поделился, но мне интересно, есть ли более структурированный подход для проверки текущего установленного CNI и связанных возможностей.

Что касается «контроллера для его реализации», есть ли способ получить список надстроек / контроллеров, связанных с сетевой политикой?


kubernetes kubernetes-networkpolicy cni
person Crixo    schedule 30.12.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Какой лучший подход для проверки конфигурации сетевой политики для данного кластера?

Если у вас есть доступ к модулям, вы можете запускать тесты, чтобы убедиться, что ваши сетевые политики эффективны или нет. Проверить это можно двумя способами:

  • Чтение вашей сетевой политики с помощью kubectl (kubectl get networkpolicies).
  • Тестирование конечных точек для проверки эффективности сетевых политик.

Интересно, есть ли более структурированный подход для проверки текущего установленного CNI и связанных с ним возможностей.

Нет структурированного способа проверить ваш CNI. Вам необходимо понимать, как работает ваш CNI, чтобы иметь возможность идентифицировать его в вашем кластере. Например, для Calico вы можете идентифицировать его, проверив, работают ли ситцевые стручки. (kubectl get pods --all-namespaces --selector=k8s-app=calico-node)

Что касается «контроллера для его реализации», есть ли способ получить список надстроек / контроллеров, связанных с сетевой политикой?

«Контроллер для его реализации» - это ссылка на используемый вами CNI.

Существует инструмент под названием Kubernetes Network Policies Viewer, который позволяет вам графически видеть вашу NetworkPolicy. Это не связано с вашим вопросом, но может помочь вам визуализировать свои сетевые политики и понять, что они делают.

person Mark Watney    schedule 31.12.2019