# /audit-network El Skill `/audit-network` busca piezas rotas o faltantes en la red del cluster: instancias `NetworkPolicy` que no coinciden con nada, instancias `Service` sin endpoints, rutas `Ingress` y `GatewayAPI` que no se resuelven, problemas de DNS, y workloads que se comunican en texto plano cuando hay una malla disponible. Ejecútela sin argumentos para un barrido completo, o nombre un workflow para delimitar el reporte. ```text /audit-network # full sweep /audit-network policies # single workflow /audit-network ingress in prod ``` La delimitación en lenguaje natural (namespaces, selectores de etiquetas, nombres de workloads) está disponible en todos los workflows (consulte [Descripción general](/es/reference/skills/overview/)). --- ## Workflows ### 1. NetworkPolicy :::note[Verificaciones] - Namespaces sin denegación por defecto y pods cubiertos por cero políticas - Políticas cuyo `podSelector` o selectores de pares no coinciden con ningún pod o namespace - Reglas que referencian puertos o protocolos que los pods objetivo no exponen ::: Fuentes: API de Kubernetes. ### 2. Service :::note[Verificaciones] - Services sin endpoints listos - Discrepancias entre `selector` y etiquetas de pod, y entre `port` y `targetPort` - Headless Services (`clusterIP: None`) que no respaldan un StatefulSet ::: Fuentes: API de Kubernetes. ### 3. Ingress y GatewayAPI :::note[Verificaciones] - Colisiones de hostname entre Ingresses o rutas de Gateway - Entradas TLS que referencian Secrets faltantes o expirados - Backends que apuntan a Services inexistentes o sin endpoints ::: Fuentes: API de Kubernetes, incluyendo `gateway.networking.k8s.io` cuando los CRDs están instalados. ### 4. DNS :::note[Verificaciones] - Salud de los pods de CoreDNS y reinicios recientes - Tasas elevadas de NXDOMAIN o SERVFAIL en métricas de CoreDNS - Dominios stub y forwarders en el ConfigMap de CoreDNS que no se resuelven ::: Fuentes: el `Deployment` de CoreDNS, su `ConfigMap` y sus métricas de Prometheus cuando están expuestas. ### 5. Cifrado y mTLS :::note[Verificaciones] - Workloads fuera de la cobertura de sidecar o ambient de la malla - Namespaces o workloads en modo mTLS permisivo (texto plano permitido) ::: Fuentes: CRDs de Istio, Linkerd o Cilium — solo se ejecuta cuando se detecta una de estas mallas. --- ## Qué se le indica al agente Más allá de los workflows, el Skill orienta al agente sobre cómo delimitar y reportar: - Omitir los workflows de malla y Gateway API a menos que los CRDs relevantes estén instalados — la ausencia no es un hallazgo. - Para las verificaciones de TLS, indicar cuando el contenido del Secret no puede leerse por restricciones RBAC en lugar de reportar un falso "expirado". - Para las verificaciones de sonda activa de DNS, indicar la fuente de la sonda (pod en el cluster usado para la resolución) para que los fallos puedan interpretarse. - Agrupar los hallazgos por workflow e incluir la evidencia (selectores, endpoints, claves del ConfigMap) en lugar de solo el veredicto. - Derivar a [`/logs`](/es/reference/skills/logs/) para los logs de CoreDNS, o a [`/investigate`](/es/reference/skills/investigate/) cuando un workload específico sea la causa raíz.