一、背景

天翼云容器引擎的部分客户用户在使用开源 Calico 插件时，网络性能和安全至关重要。作为 Kubernetes 集群中广泛使用的网络和网络安全解决方案，Calico 的稳定性和可靠性直接影响着集群的整体表现。监控功能是确保组件稳定运行的关键，而天翼云应用性能可观测组件提供了 Prometheus 监控服务，能够自动关联云容器引擎，为用户提供全面的监控能力。

本文针对应用性能监控的 Calico Dashboard 的使用场景、面板上的指标含义、如何通过这些指标发现潜在问题，以及配置和使用示例进行详细介绍，帮助用户更好地监控和管理 Kubernetes 集群的网络性能与安全。

二、使用场景以及指标使用示例

1. 网络监控

Calico Dashboard 可以帮助管理员实时监控 Kubernetes 集群的网络性能，包括网络延迟、丢包率、带宽使用等。这对于确保应用程序的高可用性和响应速度至关重要。

1）网络流量

指标1：Inbound Traffic：入流量，表示进入集群的网络数据量。  
      场景：如果入流量突然激增，可能是某个服务收到了大量请求，需要检查是否有异常流量（如 DDoS 攻击）或是否需要扩容。
指标2：Outbound Traffic：出流量，表示从集群流出的网络数据量。  
      场景：如果出流量异常高，可能是某个服务正在大量向外发送数据，需要检查是否有数据泄露或服务异常。

2）网络延迟

指标1：Latency：网络延迟，表示数据包从源到目的地所需的时间。  
        场景：如果延迟持续高于 100ms，可能会导致应用程序响应缓慢，需要检查网络链路是否拥塞或节点负担是否过高。

3）丢包率

指标1：Packet Loss**：丢包率，表示在传输过程中丢失的数据包比例。  
         场景：如果丢包率超过 1%，可能会导致数据不完整或应用程序性能下降，需要检查网络设备（如交换机、路由器）是否正常。

4）连接数

指标1：Active Connections**：活跃连接数，表示当前集群中建立的网络连接数量。  
         场景：如果活跃连接数接近集群上限，可能会导致新连接无法建立，需要扩容节点或优化服务配置。

2. 安全策略审计

Calico 提供了基于网络策略的安全功能。通过 Calico Dashboard，管理员可以监控网络策略的执行情况，确保只有授权的流量能够通过。

1）.网络策略

指标1：Policy Hits**：策略命中数，表示网络策略被触发的次数。  
       场景：如果某个策略的命中数异常高，可能是该策略配置过于宽松或存在异常流量，需要检查策略规则。
指标2：Policy Denies**：策略拒绝数，表示被网络策略拒绝的流量次数。  
       场景：如果拒绝数突然增加，可能是某个服务尝试访问未授权的资源，需要检查策略配置或服务行为。

2）错误率

指标1：Error Rate：错误率，表示网络通信中发生错误的比例。  
      场景：如果错误率持续高于 0.5%，可能是网络配置错误或硬件故障，需要检查网络接口、防火墙规则等。