监控或记录 Kubernetes NetworkPolicy 丢弃的网络流量

【问题标题】:Monitor or log dropped network traffic for Kubernetes NetworkPolicy监控或记录 Kubernetes NetworkPolicy 丢弃的网络流量
【发布时间】:2018-06-02 11:00:41
【问题描述】:

我对使用 Kubernetes NetworkPolicy 来控制网络策略很感兴趣。我想知道 NetworkPolicy 是否阻止流量,以便我可以修复策略或修复/停止任何违规行为。

我们使用 Calico,他们认为这是一项付费功能。 https://github.com/projectcalico/calico/issues/1035

Cilium 有cilium monitor,如果我们开始使用 Cilium,听起来它会起作用。 http://docs.cilium.io/en/latest/troubleshooting/

是否有一种通用的、供应商中立的方法来监控违反 Kuberenetes NetworkPolicy 的网络流量?

【问题讨论】:

    标签: kubernetes project-calico cilium kubernetes-networkpolicy


    【解决方案1】:

    AFAIU,没有办法创建这样的供应商中立工具,因为 NetworkPolicy 只是一个抽象。每个网络插件都以不同的方式执行它们(Cilium 主要在 L3 和 L4 的 BPF 和 L7 的 Envoy 中执行此操作),因此每个插件都需要提供自己的访问这些信息的方法。

    AFAIK,Kubernetes 社区没有主动存储此信息并为 CNI 插件提供接口以提供此信息,但看起来这将是一个有趣的项目。

    免责声明:我是 Cilium 开发团队的一员。

    【讨论】:

    • 这是我在理解事物后得出的结论。顺便说一句,我真的很喜欢 Cilium。相信生产似乎有点生硬,但我预计会在 6 个月或一年内转向它。
    猜你喜欢
    • 2018-12-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-12-29
    • 1970-01-01
    • 2021-08-04
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode