cks

3.23 Utilitários de rede / debug

Detalhamento de comandos de rede e debug para testar conectividade e políticas (CKS).

O que é

No CKS você precisa testar se um pod alcança (ou não) outro serviço, IP ou porta — por exemplo para validar NetworkPolicies (bloqueio do metadata, allow apenas para um label). Os principais recursos são exec em um pod com ferramentas de rede (curl, wget, ping) e, quando necessário, port-forward ou netshoot-style pods.

Comandos principais

# Executar curl dentro de um pod (testar HTTP)
kubectl exec -it -n <namespace> <pod> -- curl -m 2 http://<ip>:<port>

# Sem -it se não precisar de TTY
kubectl exec -n <namespace> <pod> -- curl -s -o /dev/null -w "%{http_code}" http://<ip>:<port>

• -m 2: timeout de 2 segundos (evita espera longa se a policy bloquear).
• curl: testar se o egress para aquele IP:porta funciona (ou falha por policy/timeout).

Testar políticas

• Metadata deny: de um pod “normal”, curl -m 2 http://169.254.169.254/ (ou o IP do metadata no enunciado) deve falhar/timeout se a policy estiver correta.
• Metadata allow: de um pod com o label permitido (ex.: role=metadata-accessor), o mesmo curl deve retornar resposta (ex.: 200 ou corpo do metadata).
• Entre pods: curl http://<pod-ip>:port ou curl http://<service>.<namespace>.svc.cluster.local:port para testar comunicação entre pods/serviços.

Ferramentas no container

Muitas imagens base não trazem curl ou ping. Alternativas:

• Usar uma imagem de debug (ex.: nicolaka/netshoot) com kubectl run ... --image=nicolaka/netshoot --rm -it --restart=Never -- curl ....
• Ou usar wget se disponível: kubectl exec ... -- wget -q -O- --timeout=2 http://....

Resumo para o exame

• kubectl exec -n <ns> <pod> – curl -m 2 http://<ip>:port para testar acesso.
• Usar o IP/porta do metadata (ou do alvo) indicado no enunciado.
• Comparar resultado com pod “normal” vs pod com label permitido para validar deny/allow.