/audit-network

Der /audit-network-Skill sucht nach defekten oder fehlenden Teilen im Cluster-Netzwerk: NetworkPolicy-Instanzen, die auf nichts passen, Service-Instanzen ohne Endpoints, Ingress- und GatewayAPI-Routen, die nicht aufgelöst werden, DNS-Probleme und Workloads, die im Klartext kommunizieren, wenn ein Mesh verfügbar ist.

Führe ihn ohne Argumente für einen vollständigen Sweep aus, oder benenne einen Workflow, um den Bericht einzugrenzen.

/audit-network                         # full sweep
/audit-network policies                # single workflow
/audit-network ingress in prod

Natürlichsprachiges Scoping (Namespaces, Label-Selektoren, Workload-Namen) wird in jedem Workflow unterstützt (siehe Übersicht).

---

Workflows

1. NetworkPolicy

Checks

• Namespaces ohne Default-Deny und Pods, die von null Policies abgedeckt werden
• Policies, deren podSelector oder Peer-Selektoren auf keine Pods oder Namespaces passen
• Regeln, die auf Ports oder Protokolle verweisen, die die Ziel-Pods nicht exponieren

Quellen: Kubernetes API.

2. Service

Checks

• Services ohne Ready-Endpoints
• selector/Pod-Label-Mismatches und port/targetPort-Mismatches
• Headless Services (clusterIP: None), die nicht zu einem StatefulSet gehören

Quellen: Kubernetes API.

3. Ingress & GatewayAPI

Checks

• Hostnamen-Kollisionen über Ingresses oder Gateway-Routen hinweg
• TLS-Einträge, die auf fehlende oder abgelaufene Secrets verweisen
• Backends, die auf Services verweisen, die nicht existieren oder keine Endpoints haben

Quellen: Kubernetes API, einschließlich gateway.networking.k8s.io, wenn die CRDs installiert sind.

4. DNS

Checks

• CoreDNS-Pod-Gesundheit und aktuelle Neustarts
• Erhöhte NXDOMAIN- oder SERVFAIL-Raten in CoreDNS-Metriken
• Stub-Domains und Forwarder in der CoreDNS-ConfigMap, die nicht auflösen

Quellen: das CoreDNS-Deployment, seine ConfigMap und seine Prometheus-Metriken, wenn exponiert.

5. Verschlüsselung & mTLS

Checks

• Workloads außerhalb der Sidecar- oder Ambient-Abdeckung des Meshs
• Namespaces oder Workloads im permissiven (Klartext erlaubenden) mTLS-Modus

Quellen: Istio-, Linkerd- oder Cilium-CRDs — wird nur ausgeführt, wenn eines dieser Meshes erkannt wird.

---

Was dem Agent mitgeteilt wird

Über die Workflows hinaus weist der Skill den Agent an, wie er eingrenzen und berichten soll:

• Die Mesh- und Gateway-API-Workflows überspringen, wenn die relevanten CRDs nicht installiert sind — Abwesenheit ist kein Finding.
• Bei TLS-Checks angeben, wenn Secret-Inhalte aufgrund von RBAC nicht gelesen werden können, anstatt fälschlicherweise „abgelaufen” zu melden.
• Für DNS-Aktiv-Probe-Checks die Probe-Quelle (im Cluster verwendeter Pod für die Auflösung) angeben, damit Fehler interpretiert werden können.
• Findings nach Workflow gruppieren und die Belege (Selektoren, Endpoints, ConfigMap-Schlüssel) einbeziehen, nicht nur das Urteil.
• An /logs für CoreDNS-Logs oder an /investigate übergeben, wenn eine einzelne Workload die Ursache ist.