Próbuję dowiedzieć się, jakie najlepsze podejście do weryfikacji konfiguracji polityki sieciowej dla danego klastra. Zgodnie z dokumentacją

Zasady sieciowe są zaimplementowane przez wtyczkę sieciową, więc musisz używać rozwiązania sieciowego, które obsługuje NetworkPolicy - wystarczy tworzyć zasób bez sterownika do wdrożenia, nie będzie miało efektu.

Zakładając, że mam dostęp tylko przez Kubectl do mojego klastra, co powinienem zrobić, aby zapewnić zasób zasobów polityki sieciowej w klastrze będzie honorowany?

Jestem świadomy o dostępnym CNI i Powiązane Matrix Możliwości.
. Wiem, że możesz sprawdzić pod względem strąku w ramach systemu KUBE, które są związane z tymi CNI i zweryfikować powiązane możliwości za pomocą ex. Matryca, którą udostępniłem, ale zastanawiam się, czy istnieje bardziej zorganizowane podejście do weryfikacji bieżącego zainstalowanego CNI i powiązanych możliwości.

Jeśli chodzi o "Kontroler do wdrożenia", czy istnieje sposób, aby uzyskać listę dodatku / kontrolera związanego z polityką sieciową?

1
Crixo 30 grudzień 2019, 20:39

1 odpowiedź

Najlepsza odpowiedź

Jakie najlepsze podejście do weryfikacji konfiguracji polityki sieciowej dla danego klastra?

Jeśli masz dostęp do strąków, możesz uruchomić testy, aby upewnić się, że twoje sieci są skuteczne, czy nie. Istnieją dwa sposoby sprawdzenia:

  • Czytanie NetworkPolicy za pomocą Kubectl (kubectl get networkpolicies).
  • Testowanie punktów końcowych, aby sprawdzić, czy Networkpolicies są skuteczne.

Zastanawiam się, czy istnieje bardziej zorganizowane podejście do weryfikacji bieżącego zainstalowanego CNI i powiązanych możliwości.

Nie ma strukturyzowanego sposobu sprawdzenia CNI. Musisz zrozumieć, jak działa CNI, aby móc go zidentyfikować na twoim klastrze. Na przykład na Calico można go zidentyfikować, sprawdzając, czy biegają strąki Calico. (kubectl get pods --all-namespaces --selector=k8s-app=calico-node)

Jeśli chodzi o "Kontroler do wdrożenia", czy istnieje sposób, aby uzyskać listę dodatku / kontrolera związanego z polityką sieciową?

"Kontroler do wdrożenia" jest odniesieniem do korzystania z CNI.

Istnieje narzędzie o nazwie KuberNetes Sieci Polici Viewer pozwala zobaczyć graficznie swojej sieciowejPolicy. Nie jest to związane z pytaniem, ale może pomóc Ci wizualizować swoje sieci i zrozumieć, co robią.

1
Mark Watney 31 grudzień 2019, 11:59