/audit-network

El Skill /audit-network busca piezas rotas o faltantes en la red del cluster: instancias NetworkPolicy que no coinciden con nada, instancias Service sin endpoints, rutas Ingress y GatewayAPI que no se resuelven, problemas de DNS, y workloads que se comunican en texto plano cuando hay una malla disponible.

Ejecútela sin argumentos para un barrido completo, o nombre un workflow para delimitar el reporte.

/audit-network                         # full sweep
/audit-network policies                # single workflow
/audit-network ingress in prod

La delimitación en lenguaje natural (namespaces, selectores de etiquetas, nombres de workloads) está disponible en todos los workflows (consulte Descripción general).

Workflows

1. NetworkPolicy

Fuentes: API de Kubernetes.

2. Service

Fuentes: API de Kubernetes.

3. Ingress y GatewayAPI

Fuentes: API de Kubernetes, incluyendo gateway.networking.k8s.io cuando los CRDs están instalados.

4. DNS

Fuentes: el Deployment de CoreDNS, su ConfigMap y sus métricas de Prometheus cuando están expuestas.

5. Cifrado y mTLS

Fuentes: CRDs de Istio, Linkerd o Cilium — solo se ejecuta cuando se detecta una de estas mallas.

Qué se le indica al agente

Más allá de los workflows, el Skill orienta al agente sobre cómo delimitar y reportar:

Omitir los workflows de malla y Gateway API a menos que los CRDs relevantes estén instalados — la ausencia no es un hallazgo.
Para las verificaciones de TLS, indicar cuando el contenido del Secret no puede leerse por restricciones RBAC en lugar de reportar un falso “expirado”.
Para las verificaciones de sonda activa de DNS, indicar la fuente de la sonda (pod en el cluster usado para la resolución) para que los fallos puedan interpretarse.
Agrupar los hallazgos por workflow e incluir la evidencia (selectores, endpoints, claves del ConfigMap) en lugar de solo el veredicto.
Derivar a /logs para los logs de CoreDNS, o a /investigate cuando un workload específico sea la causa raíz.