注册
登录
决策支持
如何验证群集网络策略配置/支持
返回
如何验证群集网络策略配置/支持
作者:
春风助手
发布时间:
2024-04-18 09:19:15 (7天前)
<p>我正在尝试找出哪种最佳方法来验证给定群集的网络策略配置。 根据文档</p><p>网络策略是由网络插件实现的,因此您必须使用支持NetworkPolicy的网络解决方案-仅创建资源而无需控制器即可实现该策略。</p><p>假设我只能通过kubectl访问我的集群,我该怎么做才能确保将使用部署到集群中的网络策略资源?</p><p>我知道可用的CNI和相关的矩阵功能。<br/>我知道您可以检查在与这些CNI相关的kube系统下部署的pod,并使用for ex验证相关功能。我共享的矩阵,但我想知道是否有一种更结构化的方法来验证当前安装的CNI及其相关功能。</p><p>关于“控制器实现”,有没有办法获取与网络策略相关的附加组件/控制器的列表?</p>
收藏
举报
2 条回复
1#
回复此人
只怕再见是故人
|
2020-08-17 18-09
哪种方法可以验证给定群集的网络策略配置? 如果您有权访问Pod,则可以运行测试以确保您的NetworkPolicies有效或无效。有两种检查方法: 使用kubectl(kubectl get networkpolicies)阅读您的NetworkPolicy 。 测试您的端点以检查NetworkPolicies是否有效。 我想知道是否有一种更结构化的方法来验证当前安装的CNI及其相关功能。 没有结构化的方法来检查您的CNI。您需要了解CNI的工作方式,以便能够在集群上对其进行识别。例如,对于Calico,您可以通过检查calico吊舱是否正在运行来识别它。(kubectl get pods --all-namespaces --selector=k8s-app=calico-node) 关于“控制器实现”,有没有办法获取与网络策略相关的附加组件/控制器的列表? “控制器实现”是对您正在使用的CNI的引用。 有一个名为Kubernetes网络策略查看器的工具https://orca.tufin.io/netpol/?yaml=apiVersion:%20networking.k8s.io/v1%0Akind:%20NetworkPolicy%0Ametadata:%0A3name:%20test-network-policy%0A3namespace:%20default%0Aspec:%0A3podSelector:%0A5matchLabels:%0A7role:%20db%0A3policyTypes:%0A3-%20Ingress%0A3-%20Egress%0A3ingress:%0A3-%20from:%0A5-%20ipBlock:%0A9cidr:%20172.17.0.0/16%0A9except:%0A9-%20172.17.1.0/24%0A5-%20namespaceSelector:%0A9matchLabels:%0A11project:%20myproject%0A5-%20podSelector:%0A9matchLabels:%0A11role:%20frontend%0A5ports:%0A5-%20protocol:%20TCP%0A7port:%206379%0A3egress:%0A3-%20to:%0A5-%20ipBlock:%0A9cidr:%2010.0.0.0/24%0A5ports:%0A5-%20protocol:%20TCP%0A7port:%205978 ,可让您以图形方式查看NetworkPolicy。这与您的问题无关,但可以帮助您可视化NetworkPolicies并了解它们在做什么。
编辑
登录
后才能参与评论
