设置作用域

作用域选择用于聚集通信的 Kubernetes 实体和时间范围。

使用 Kubernetes 元数据聚集通信。 这将避免包含与策略不相关的实体。 例如，如果部署 A 下的 pod A 与部署 B 下的 pod B 多次通信，那么 UI 中将只显示一个条目。 或者，如果 pod A1 和 pod A2 都在部署 A 下，并且都与 pod B 通信，那么部署 A 将表示其所有 pod。

要设置作用域，请执行以下操作:

1. 打开 Workload Protection UI。

2. 单击“网络”图标 。

3. 选择 集群 和 名称空间。

4. 选择 Kubernetes 实体的类型。

   • Service
   • Deployment
   • Daemonset
   • Stateful Set
   • ChronJob-选择此选项以在调度程序级别 (而不是作业) 聚集通信。 这可以减少无关的条目。
   • Job-选择此选项以查看 job 没有 chronjob 父代的条目。

5. 选择要在页面底部查看的时间范围。

查看入口和出口并将其尖刻化

使用 Ingress 和 Egress 选项卡来查看所选实体和时间段的通信。

您可以使用 来包含列出的通信，或者使用 来从策略中排除通信。

您还可以使用 常规入口规则 来阻止所有内容，允许所有内容在名称空间内，或者允许所有内容在策略中。

有时，可能无法使用 Kubernetes 元数据和分类来解析端点。 例如，如果微服务正在与外部 Web 服务器通信，并且外部 IP 地址未与集群中的 Kubernetes 元数据相关联。 您将看到这些实体列示为 未解析的 IP。 缺省情况下，未解析的 IP 地址将从 KNP 中排除，但您可以通过单击 并将 IP 地址映射到别名来手动添加这些 IP 地址。

您可以过滤未解析的 IP 地址列表，以仅显示 内部，外部，别名，未知 IP 地址或这些 IP 地址的组合。

内部

在集群中找到的 IP 地址。

外部

不在集群中的 IP 地址。

已别名

具有关联别名的 IP 地址。

未知

无法确定为 内部 或 外部的 IP 地址。

查看拓扑

您可以使用 拓扑 选项卡来查看策略的图形表示。 该视图是 pod 所有者，侦听端口，服务和标签的高级 Kubernetes 元数据视图。 您可以将鼠标悬停在拓扑中的项上，以查看实体和通信的所有相关详细信息。

拓扑项的颜色指示状态。

折线图

Black-正在解析连接。

Red-未解析连接。 通信未包含在生成的策略中。 要解决此问题，请使用 入口和出口选项卡 来包含连接。

实体

Blue-包含工作负载。

Black-指示所包含的工作负载与之通信的其他服务和部署。

生成策略文件

您可以在 生成的策略 选项卡上以 yaml 格式查看生成的策略。

单击 下载策略 以将生成的策略的副本下载到本地系统。