Kubernetes NetworkPolicyのネットワークトラフィックを監視またはログオフします

Question

Kubernetes NetworkPolicyを使用してネットワークポリシーを制御することに興味があります。 NetworkPolicyがトラフィックをブロックしているかどうかを知りたいので、ポリシーを修正するか、違反しているものを修正/中止できます。

私たちはキャリコを使用しており、有料の機能と見なしています。 https://github.com/projectcalico/calico/issues/1035

チリウムはです。これは、私たちがCiliumを使い始めるとうまくいくと思われます。 http://docs.cilium.io/en/latest/troubleshooting/

Kuberenetes NetworkPolicyに違反するネットワークトラフィックを監視する一般的な、ベンダーに依存しない方法はありますか？

Answer 1

AFAIU、NetworkPolicyは単なる抽象化であるため、このようなベンダーに依存しないツールを作成する方法はありません。各ネットワーキングプラグインは、それらを別々に強制します（CiliumはL3とL4ではBPF、L7ではEnvoyで動作します）。したがって、各プラグインはこの情報にアクセスする独自の手段を提供する必要があります。

AFAIK、この情報を保存するためのKubernetesコミュニティのイニシアティブはなく、この情報を提供するためのCNIプラグインのインターフェイスを提供していますが、楽しいプロジェクトのようです。

免責事項：私はCilium開発チームです。