/audit-network
/audit-network 技能用于检测集群网络中损坏或缺失的部分:不匹配任何资源的 NetworkPolicy、没有端点的 Service、无法解析的 Ingress 和 GatewayAPI 路由、DNS 问题,以及在 Service Mesh 可用时仍以明文通信的工作负载。
不带参数运行可进行全面扫描,也可指定工作流名称以限定报告范围。
/audit-network # full sweep/audit-network policies # single workflow/audit-network ingress in prod每个工作流均支持自然语言范围限定(命名空间、标签选择器、工作负载名称),参见概述。
1. NetworkPolicy
Section titled “1. NetworkPolicy”数据来源:Kubernetes API。
2. Service
Section titled “2. Service”数据来源:Kubernetes API。
3. Ingress 和 GatewayAPI
Section titled “3. Ingress 和 GatewayAPI”数据来源:Kubernetes API;当 gateway.networking.k8s.io CRD 已安装时一并纳入。
4. DNS
Section titled “4. DNS”数据来源:CoreDNS Deployment、其 ConfigMap 及其 Prometheus 指标(若已暴露)。
5. 加密和 mTLS
Section titled “5. 加密和 mTLS”数据来源:Istio、Linkerd 或 Cilium CRD — 仅在检测到其中一种 Service Mesh 时运行。
代理收到的指引
Section titled “代理收到的指引”除工作流外,技能还向代理说明如何限定范围和报告:
- 除非相关 CRD 已安装,否则跳过 Service Mesh 和 Gateway API 工作流 — 不存在不构成发现。
- TLS 检查时,若因 RBAC 无法读取 Secret 内容,注明原因而非误报为”已过期”。
- DNS 主动探测检查时,说明探测来源(用于解析的集群内 Pod),以便正确解读失败原因。
- 按工作流分组列出发现,并附上证据(选择器、端点、ConfigMap 键),而非仅给出结论。
- CoreDNS 日志转交给
/logs;若单个工作负载是根因,转交给/investigate。