はじめに
IBM CloudではIBM Cloud Monitoring with Sysdigの機能の中で「Sysdig Secure on IBM Cloud」が利用でき、コンプライアンスの問題を確認するだけでなくネットワークセキュリティに関する情報を可視化することも可能です。
本記事では既に同サービスをカタログから発注した後に特定のnamespaceのネットワークトポロジーを可視化する流れを記載しました。
環境情報
$ ibmcloud version C:\Program version 1.4.0+...
Sysdig Secureのダッシュボードを開く流れ
ポータル画面から「リソースリスト」>「Services」からオーダーした「IBM Cloud Monitoring with Sysdig」を選定すると以下のようなURLにて遷移します。
https://cloud.ibm.com/observe/embedded-view/monitoring/xx
次に「モニタリング」を選択して「ダッシュボードを開く」を押下すると以下の画面になり
そこでは「Monitor/Secure」と選択できるので「Secure」を選択するとSysdig Secureのダッシュボードが切り替わります。
ネットワークトポロジーを確認する
Sysdig Secureの画面にて「Network」という項目を選択すると
To get started, please select a Cluster and Namespace.
とクラスター名と名前空間を入力する項目があります。
クラスター名としてKubernetes/OpenshiftのIDを選択できるので任意の名前空間を選択すると以下のようにRouteやServiceの関連性が可視化されます。
また、NetworkPolicyのYAMLやIngress&Egressの設定もGUI上から確認できます。
終わりに
Istio/Kialiでも同様の可視化はできますが、Sysdig Secureは各コンテナ自体にサイドカーをつけるわけではないのでアーキテクト上も優位性はあります。
今回はServiceを確認しましたが、他にも
- Deployment
- DaemonSet
- StatefulSet
- Job
- Cronjob
の情報も確認できます。
以上、ご参考になれば幸いです。