/audit-network

Le Skill /audit-network recherche les éléments défaillants ou manquants dans le réseau du cluster : instances NetworkPolicy qui ne correspondent à rien, instances Service sans endpoints, routes Ingress et GatewayAPI qui ne se résolvent pas, problèmes DNS, et workloads communiquant en clair alors qu’un mesh est disponible.

Exécutez-la sans arguments pour un balayage complet, ou nommez un workflow pour affiner le rapport.

/audit-network                         # full sweep
/audit-network policies                # single workflow
/audit-network ingress in prod

Le ciblage en langage naturel (namespaces, sélecteurs de labels, noms de workloads) est pris en charge sur chaque workflow (voir Overview).

Workflows

1. NetworkPolicy

Sources : API Kubernetes.

2. Service

Sources : API Kubernetes.

3. Ingress & GatewayAPI

Sources : API Kubernetes, incluant gateway.networking.k8s.io lorsque les CRDs sont installés.

4. DNS

Sources : le Deployment CoreDNS, son ConfigMap, et ses métriques Prometheus lorsqu’exposées.

5. Chiffrement & mTLS

Sources : CRDs Istio, Linkerd ou Cilium — s’exécute uniquement lorsque l’un de ces meshes est détecté.

Ce qui est communiqué à l’agent

Au-delà des workflows, le Skill instruit l’agent sur la manière de cibler et présenter les résultats :

Ignorer les workflows mesh et Gateway API si les CRDs correspondants ne sont pas installés — l’absence n’est pas un constat.
Pour les vérifications TLS, noter explicitement quand le contenu du Secret ne peut pas être lu en raison du RBAC plutôt que de signaler un faux « expiré ».
Pour les sondes DNS actives, indiquer la source de la sonde (pod in-cluster utilisé pour la résolution) afin que les échecs puissent être interprétés correctement.
Regrouper les résultats par workflow et inclure les preuves (sélecteurs, endpoints, clés ConfigMap) plutôt que seulement le verdict.
Déléguer à /logs pour les logs CoreDNS, ou à /investigate lorsqu’un workload unique est la cause racine.