5

我对使用 Kubernetes NetworkPolicy 来控制网络策略很感兴趣。我想知道 NetworkPolicy 是否阻止流量,以便我可以修复策略或修复/停止任何违规行为。

我们使用 Calico,他们认为这是一项付费功能。https://github.com/projectcalico/calico/issues/1035

如果我们开始使用 Cilium, Ciliumcilium monitor听起来会起作用。 http://docs.cilium.io/en/latest/troubleshooting/

是否有一种通用的、供应商中立的方法来监控违反 Kuberenetes NetworkPolicy 的网络流量?

4

1 回答 1

5

AFAIU,没有办法创建这种供应商中立的工具,因为 NetworkPolicy 只是一个抽象。每个网络插件执行它们的方式不同,(Cilium 主要在 L3 和 L4 的 BPF 和 L7 的 Envoy 中执行此操作),因此每个插件都需要提供自己的访问这些信息的方法。

AFAIK,Kubernetes 社区没有主动存储这些信息并为 CNI 插件提供接口来提供这些信息,但这似乎是一个有趣的项目。

免责声明:我在 Cilium 开发团队。

于 2018-02-08T14:02:33.867 回答