我有兴趣使用Kubernetes NetworkPolicy来控制网络策略。我想知道NetworkPolicy是否阻止了流量,因此我可以修复策略或修复/停止任何违规行为。
我们使用Calico,他们将此视为付费功能。 https://github.com/projectcalico/calico/issues/1035
如果我们开始使用Cilium,那么它就会有cilium monitor的声音。
http://docs.cilium.io/en/latest/troubleshooting/
是否存在一种与供应商无关的通用方式来监控违反Kuberenetes NetworkPolicy的网络流量?
答案 0 :(得分:2)
AFAIU,没有办法创建这样的供应商中立工具,因为NetworkPolicy只是一个抽象。每个网络插件都以不同的方式强制执行它们(Cilium主要用于L3和L4的BPF以及L7的Envoy),因此每个插件都需要提供自己的方法来访问这些信息。
AFAIK,Kubernetes社区没有主动存储这些信息,并提供CNI插件的界面来提供这些信息,但似乎这将是一个有趣的项目。
免责声明:我在Cilium开发团队。