ከ Calico ጋር የአውታረ መረብ ፖሊሲ ​​ማስፈጸሚያ አማራጮችን መረዳት

የ Calico አውታረ መረብ ፕለጊን የሃርድዌር አስተናጋጆችን፣ ቨርቹዋል ማሽኖችን እና ፖዶችን ለመጠበቅ ከተዋሃደ አገባብ ጋር ሰፊ የአውታረ መረብ ፖሊሲዎችን ያቀርባል። እነዚህ መመሪያዎች በስም ቦታ ውስጥ ሊተገበሩ ወይም ለሚመለከታቸው ዓለም አቀፍ የአውታረ መረብ ፖሊሲዎች ሊሆኑ ይችላሉ። አስተናጋጅ መጨረሻ ነጥብ (በአስተናጋጁ ላይ በቀጥታ የሚሰሩ መተግበሪያዎችን ለመጠበቅ - አስተናጋጁ አገልጋይ ወይም ምናባዊ ማሽን ሊሆን ይችላል) ወይም የሥራ ጫና መጨረሻ ነጥብ (በኮንቴይነሮች ውስጥ የሚሰሩ መተግበሪያዎችን ወይም የተስተናገዱ ምናባዊ ማሽኖችን ለመጠበቅ)። የካሊኮ ፖሊሲዎች የጥበቃ እርምጃዎችን በተለያዩ ቦታዎች ላይ በፓኬት መንገድ ላይ እንድትተገብሩ ይፈቅድልሃል እንደ preDNAT፣ ያልተጣራ እና applyOnForward ያሉ አማራጮችን በመጠቀም። እነዚህ አማራጮች እንዴት እንደሚሰሩ መረዳት የአጠቃላይ ስርዓትዎን ደህንነት እና አፈጻጸም ለማሻሻል ይረዳል። ይህ መጣጥፍ በጥቅል ማቀነባበሪያ ዱካዎች (iptabels ሰንሰለቶች) ላይ ምን እንደሚፈጠር ላይ በማተኮር የእነዚህን የካሊኮ ፖሊሲ አማራጮችን (ቅድመ-ዲኤንኤት፣ ያልተራቆተ እና ተግባራዊOnForward) ለአስተናጋጅ የመጨረሻ ነጥቦችን ምንነት ያብራራል።

ይህ ጽሑፍ የኩበርኔትስ እና የካሊኮ አውታረ መረብ ፖሊሲዎች እንዴት እንደሚሠሩ መሠረታዊ ግንዛቤ እንዳለዎት ያስባል። ካልሆነ, እንዲሞክሩት እንመክራለን መሰረታዊ የአውታረ መረብ ፖሊሲ ​​አጋዥ ስልጠና и የአስተናጋጅ ጥበቃ አጋዥ ስልጠና ይህንን ጽሑፍ ከማንበብዎ በፊት Calico ን በመጠቀም። እንዲሁም ስለ ሥራው መሠረታዊ ግንዛቤ እንዲኖርዎት እንጠብቃለን። iptables በሊኑክስ ውስጥ.

ካሊኮ የአለምአቀፍ አውታረ መረብ ፖሊሲ የመዳረሻ ደንቦችን በመለያዎች (ለአስተናጋጆች ቡድኖች እና የስራ ጫናዎች/ፖዶች) እንዲተገብሩ ይፈቅድልዎታል። የተለያዩ ስርዓቶችን አንድ ላይ ከተጠቀሙ ይህ በጣም ጠቃሚ ነው - ምናባዊ ማሽኖች ፣ በቀጥታ በሃርድዌር ላይ ያለ ስርዓት ፣ ወይም የ kubernetes መሠረተ ልማት። በተጨማሪም፣ የእርስዎን ክላስተር (አንጓዎች) ገላጭ ፖሊሲዎች ስብስብ በመጠቀም መጠበቅ እና የአውታረ መረብ ፖሊሲዎችን ለገቢ ትራፊክ መተግበር ይችላሉ (ለምሳሌ በ NodePorts ወይም External IPs አገልግሎት)።

በመሠረታዊ ደረጃ, ካሊኮ ፖድን ከአውታረ መረቡ ጋር ሲያገናኝ (ከዚህ በታች ያለውን ንድፍ ይመልከቱ), ምናባዊ የኤተርኔት በይነገጽ (ቬት) በመጠቀም ከአስተናጋጁ ጋር ያገናኛል. በፖዱ የተላከው ትራፊክ ከዚህ ምናባዊ በይነገጽ ወደ አስተናጋጁ ይመጣል እና ከአካላዊ አውታረ መረብ በይነገጽ እንደመጣ በተመሳሳይ መንገድ ይከናወናል። በነባሪ፣ Calico እነዚህን በይነገጾች caliXXX ብሎ ሰየማቸው። ትራፊክ የሚመጣው በምናባዊ በይነገጽ በኩል ስለሆነ፣ ፖዱ አንድ ሆፕ ርቆ እንደሚገኝ በiptables ውስጥ ያልፋል። ስለዚህ፣ ትራፊክ ወደ ፖድ ሲመጣ፣ ከአስተናጋጁ እይታ ይተላለፋል።

Calicoን በሚያሄድ የኩበርኔትስ መስቀለኛ መንገድ ላይ፣ በሚከተለው መልኩ ቨርቹዋል በይነገጽ (ቬት) ወደ የስራ ጫና ማቀድ ይችላሉ። ከታች ባለው ምሳሌ፣ veth#10 (calic1cbf1ca0f8) ከ cnx-manager-* ጋር የተገናኘውን በካሊኮ መከታተያ የስም ቦታ ላይ ማየት ይችላሉ።

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

ካሊኮ ለእያንዳንዱ የሥራ ጫና የቬት በይነገጽን ስለሚፈጥር፣ ፖሊሲዎችን እንዴት ያስፈጽማል? ይህንን ለማድረግ, ካሊኮ iptables በመጠቀም የፓኬት ማቀነባበሪያ መንገድ በተለያዩ ሰንሰለቶች ውስጥ መንጠቆዎችን ይፈጥራል.

ከዚህ በታች ያለው ንድፍ በ iptables (ወይም በ netfilter ንኡስ ስርዓት) ውስጥ በፓኬት ሂደት ውስጥ የተካተቱትን ሰንሰለቶች ያሳያል። አንድ ፓኬት በኔትወርክ በይነገጽ ሲደርስ መጀመሪያ በPREROUTING ሰንሰለት ውስጥ ያልፋል። ከዚያም የማዞሪያ ውሳኔ ይደረጋል, እና በዚህ መሰረት, ፓኬቱ በ INPUT (ሂደቶችን ለማስተናገድ ተመርቷል) ወይም FORWARD (ወደ ፖድ ወይም በኔትወርኩ ላይ ወደ ሌላ መስቀለኛ መንገድ ይመራል). ከአካባቢው ሂደት, ፓኬጁ ገመዱን ከመውረዱ በፊት በ OUTPUT እና ከዚያም በPOSTROUTING ሰንሰለት ውስጥ ያልፋል.

ፖዱ እንዲሁ ከአይፕቲፕስ ማቀነባበሪያ አንፃር ውጫዊ አካል (ከቬት ጋር የተገናኘ) መሆኑን ልብ ይበሉ. እናጠቃልለው፡-

• የማስተላለፊያ ትራፊክ (nat፣የተዘዋወረ ወይም ወደ ፖድ) በPREROUTING - FORWARD - POSTROUTING ሰንሰለቶች ውስጥ ያልፋል።
• ትራፊክ ወደ አካባቢያዊ አስተናጋጅ ሂደት በ PREROUTING - INPUT ሰንሰለት ውስጥ ያልፋል።
• ከአካባቢው አስተናጋጅ ሂደት የሚመጣው ትራፊክ በOUTPUT - POSTROUTING ሰንሰለት ውስጥ ያልፋል።

ካሊኮ በሁሉም ሰንሰለቶች ላይ ፖሊሲዎችን እንዲተገብሩ የሚያስችልዎ የፖሊሲ አማራጮችን ይሰጣል። ያንን በአእምሯችን ይዘን፣ በካሊኮ ውስጥ ያሉትን የተለያዩ የፖሊሲ ውቅር አማራጮችን እንመልከት። ከታች ባሉት የአማራጮች ዝርዝር ውስጥ ያሉት ቁጥሮች ከላይ ባለው ሥዕላዊ መግለጫ ውስጥ ካሉት ቁጥሮች ጋር ይዛመዳሉ።

1. የሥራ ጫና የመጨረሻ ነጥብ (ፖድ) ፖሊሲ
2. የአስተናጋጅ የመጨረሻ ነጥብ ፖሊሲ
3. ተግብርOnForward አማራጭ
4. PreDNAT ፖሊሲ
5. ክትትል ያልተደረገበት ፖሊሲ

የሥራ ጫና የመጨረሻ ነጥቦችን (Kubernetes pods ወይም OpenStack VMs) ፖሊሲዎች እንዴት እንደሚተገበሩ በመመልከት እንጀምር፣ እና ከዚያ የአስተናጋጅ የመጨረሻ ነጥቦችን የፖሊሲ አማራጮችን እንመልከት።

የሥራ ጫና የመጨረሻ ነጥቦች

የሥራ ጫና የመጨረሻ ነጥብ ፖሊሲ ​​(1)

ይህ የ kubernetes ፖድዎን ለመጠበቅ አማራጭ ነው. ካሊኮ ከ Kubernetes NetworkPolicy ጋር አብሮ መስራትን ይደግፋል ነገር ግን ተጨማሪ ፖሊሲዎችን ያቀርባል - Calico NetworkPolicy እና GlobalNetworkPolicy. ካሊኮ ለእያንዳንዱ ፖድ (የሥራ ጫና) ሰንሰለት ይፈጥራል እና በ INPUT እና OUTPUT ሰንሰለቶች ውስጥ ለሥራው ጭነት ወደ FORWARD ሰንሰለት ማጣሪያ ጠረጴዛ ላይ መንጠቆዎችን ይፈጥራል.

አስተናጋጅ የመጨረሻ ነጥቦች

የአስተናጋጅ የመጨረሻ ነጥብ ፖሊሲ ​​(2)

ከ CNI (የኮንቴይነር አውታረመረብ በይነገጽ) በተጨማሪ የ Calico ፖሊሲዎች አስተናጋጁን እራሱን ለመጠበቅ ችሎታ ይሰጣሉ. በካሊኮ ውስጥ የአስተናጋጁን በይነገጽ እና አስፈላጊ ከሆነ የወደብ ቁጥሮችን በመለየት የአስተናጋጅ መጨረሻ ነጥብ መፍጠር ይችላሉ. የዚህ አካል የፖሊሲ ማስፈጸሚያ የሚከናወነው በ INPUT እና OUTPUT ሰንሰለቶች ውስጥ ባለው የማጣሪያ ሰንጠረዥ በመጠቀም ነው። ከሥዕሉ ላይ እንደሚታየው (2) በመስቀለኛ መንገድ/አስተናጋጅ ላይ ለአካባቢያዊ ሂደቶች ተፈጻሚ ይሆናሉ። ማለትም፣ በአስተናጋጁ የመጨረሻ ነጥብ ላይ የሚተገበር ፖሊሲ ከፈጠሩ፣ ወደ ፖድዎ የሚሄድ/የሚሄድ ትራፊክ ላይ ለውጥ አያመጣም። ነገር ግን የካሊኮ ፖሊሲዎችን በመጠቀም ለአስተናጋጅዎ እና ለፖዳዎችዎ ትራፊክን ለመዝጋት አንድ በይነገጽ/አገባብ ይሰጣል። ይህ ለተለያዩ አውታረ መረቦች ፖሊሲዎችን የማስተዳደር ሂደትን በእጅጉ ያቃልላል። የክላስተር ደህንነትን ለማሻሻል የአስተናጋጅ የመጨረሻ ነጥብ ፖሊሲዎችን ማዋቀር ሌላው አስፈላጊ የአጠቃቀም ጉዳይ ነው።

የማስተላለፍ ፖሊሲ (3)

የApplyOnForward አማራጭ በካሊኮ ግሎባል ኔትወርክ ፖሊሲ ውስጥ በአስተናጋጁ የሚተላለፈውን ትራፊክ ጨምሮ በአስተናጋጁ የመጨረሻ ነጥብ ላይ በሚያልፉ ትራፊክ ላይ ፖሊሲዎች እንዲተገበሩ ያስችላል። ይህ ወደ አካባቢያዊ ፖድ ወይም በአውታረ መረቡ ላይ ወደ ሌላ ቦታ የሚተላለፈውን ትራፊክ ያካትታል። ካሊኮ PreDNAT ን ለሚጠቀሙ መመሪያዎች እና ክትትል እንዳይደረግበት ይህ ቅንብር እንዲነቃ ይፈልጋል፣ የሚከተሉትን ክፍሎች ይመልከቱ። በተጨማሪም አፕሊ ኦንፎርዋርድ ቨርቹዋል ራውተር ወይም ሶፍትዌር NAT ጥቅም ላይ በሚውልበት ጊዜ የአስተናጋጅ ትራፊክን ለመቆጣጠር ሊያገለግል ይችላል።

ለሁለቱም የአስተናጋጅ ሂደቶች እና ፖድዶች ተመሳሳይ የአውታረ መረብ ፖሊሲን መተግበር ካስፈለገዎት የApplyOnForward አማራጭን መጠቀም አያስፈልግዎትም። የሚያስፈልግህ ነገር ቢኖር ለሚፈለገው የአስተናጋጅ ነጥብ እና የስራ ጫና የመጨረሻ ነጥብ (ፖድ) መለያ መፍጠር ነው። ካሊኮ የመጨረሻው ነጥብ አይነት (የአስተናጋጅ ነጥብ ወይም የስራ ጫና) ምንም ይሁን ምን በመለያዎች ላይ የተመሰረተ ፖሊሲን ለማስፈጸም ብልህ ነው።

የቅድመ ዲናት ፖሊሲ (4)

በኩበርኔትስ የአገልግሎት ህጋዊ አካል ወደቦች የ NodePorts አማራጭን በመጠቀም ወይም በአማራጭ (ካሊኮ ሲጠቀሙ) የክላስተር አይፒዎችን ወይም የውጭ አይፒዎችን አማራጮችን በመጠቀም በማስተዋወቅ ሊጋለጡ ይችላሉ። Kube-proxy ከአገልግሎት ጋር የተያያዘውን ገቢ ትራፊክ ዲኤንኤቲን በመጠቀም ለተዛማጅ አገልግሎት ፖድዎች ያስተካክላል። ከዚህ አንፃር፣ በኖድፖርትስ በኩል ለሚመጣው የትራፊክ ፖሊሲ እንዴት ነው የሚያስፈጽሙት? እነዚህ ፖሊሲዎች ትራፊክ በDNAT ከመሰራቱ በፊት መተግበሩን ለማረጋገጥ (ይህም በአስተናጋጅ፡ወደብ እና በተዛማጅ አገልግሎት መካከል ያለው ካርታ)፣ ካሊኮ "preDNAT: true" የሚባል የግሎባልኔትዎርክ ፖሊሲ መለኪያ አቅርቧል።

ቅድመ-ዲኤንኤት ሲነቃ እነዚህ ፖሊሲዎች በ(4) በዲያግራም - በማንግል ሠንጠረዥ በPREROUTING ሰንሰለት - ወዲያውኑ ከዲኤንኤቲ በፊት ይተገበራሉ። የእነዚህ ፖሊሲዎች አተገባበር በትራፊክ ሂደት ውስጥ በጣም ቀደም ብሎ ስለሚከሰት የተለመደው የፖሊሲ ቅደም ተከተል እዚህ አልተከተለም። ሆኖም፣ የቅድመ-ዲኤንኤቲ ፖሊሲዎች በመካከላቸው የመተግበሪያውን ቅደም ተከተል ያከብራሉ።

በቅድመ-ዲኤንኤት ፖሊሲዎች ሲፈጠሩ፣ ስለሚፈልጉት ትራፊክ መጠንቀቅ እና አብዛኛዎቹ ውድቅ እንዲሆኑ መፍቀድ አስፈላጊ ነው። በቅድመ-DNAT ፖሊሲ ውስጥ 'ፍቀድ' የሚል ምልክት የተደረገበት ትራፊክ በአስተናጋጅ ነጥብ ፖሊሲ ​​አይረጋገጥም፣ የቅድመ-DNAT ፖሊሲን ያልተሳካ ትራፊክ በቀሪዎቹ ሰንሰለቶች ይቀጥላል።
ካሊኮ ፕሪዲኤንኤትን ሲጠቀሙ applyOnForward የሚለውን አማራጭ ማንቃት አስገዳጅ አድርጎታል ምክንያቱም በትርጉሙ የትራፊክ መድረሻው ገና አልተመረጠም። ትራፊክ ወደ አስተናጋጁ ሂደት ሊመራ ይችላል, ወይም ወደ ፖድ ወይም ሌላ መስቀለኛ መንገድ ሊተላለፍ ይችላል.

ክትትል ያልተደረገበት ፖሊሲ (5)

አውታረ መረቦች እና መተግበሪያዎች በባህሪ ውስጥ ትልቅ ልዩነት ሊኖራቸው ይችላል። በአንዳንድ ከባድ ሁኔታዎች ትግበራዎች ብዙ የአጭር ጊዜ ግንኙነቶችን ሊፈጥሩ ይችላሉ። ይህ ኮንትራክክ (የሊኑክስ ኔትወርክ ቁልል ዋና አካል) የማስታወስ ችሎታ እንዲያልቅ ሊያደርግ ይችላል። በተለምዶ፣ እነዚህን አይነት አፕሊኬሽኖች በሊኑክስ ላይ ለማሄድ፣ ኮንትራቱን እራስዎ ማዋቀር ወይም ማሰናከል፣ ወይም ኮንትራክትን ለማለፍ የiptables ህጎችን መፃፍ አለብዎት። ግንኙነቶችን በተቻለ ፍጥነት ለማስኬድ ከፈለጉ በካሊኮ ውስጥ ያልተከተለ ፖሊሲ ቀላል እና ቀልጣፋ አማራጭ ነው። ለምሳሌ, ግዙፍ ከተጠቀሙ memcache ወይም እንደ ተጨማሪ የመከላከያ መለኪያ DDOS.

ይህን አንብብ የጦማር ልጥፍ (ወይም የእኛ ትርጉም) ክትትል ያልተደረገበትን ፖሊሲ በመጠቀም የአፈጻጸም ሙከራዎችን ጨምሮ ለበለጠ መረጃ።

በካሊኮ ግሎባልኔትዎርክ ፖሊሲ ውስጥ የ"doNotTrack: true" አማራጭን ሲያዘጋጁ **ያልተከታተለ** መመሪያ ይሆናል እና በሊኑክስ ፓኬት ማቀነባበሪያ ቧንቧ መስመር ላይ በጣም ቀደም ብሎ ይተገበራል። ከላይ ያለውን ሥዕላዊ መግለጫ ስንመለከት፣ ክትትል (conntrack) ከመጀመሩ በፊት ክትትል የሌላቸው ፖሊሲዎች በጥሬው ሠንጠረዥ ውስጥ በPREROUTING እና OUTPUT ሰንሰለቶች ውስጥ ይተገበራሉ። አንድ ፓኬት ክትትል ባልተደረገለት ፖሊሲ ሲፈቀድ፣ ለዚያ ፓኬት የግንኙነት ክትትልን ለማሰናከል ምልክት ይደረግበታል። ይህ ማለት:

• ክትትል ያልተደረገበት ፖሊሲ በእያንዳንዱ ፓኬት መሰረት ይተገበራል። የግንኙነት (ወይም ፍሰት) ጽንሰ-ሀሳብ የለም። የግንኙነቶች እጥረት ብዙ ጠቃሚ ውጤቶች አሉት
• ሁለቱንም የጥያቄ እና የምላሽ ትራፊክ መፍቀድ ከፈለጉ፣ ለሁለቱም ወደ ውስጥም ሆነ ወደ ውጪ የሚወጣ ህግ ያስፈልገዎታል (ካሊኮ በተለምዶ የምላሽ ትራፊክን በተፈቀደው መሰረት ለማመልከት ኮንትራክትን ስለሚጠቀም)።
• ክትትል ያልተደረገበት ፖሊሲ ለ Kubernetes የስራ ጫናዎች (pods) አይሰራም, ምክንያቱም በዚህ ሁኔታ ከፖድ የሚወጣውን ግንኙነት ለመከታተል ምንም መንገድ የለም.
• ኤንኤቲ ክትትል ካልተደረገላቸው ፓኬቶች ጋር በትክክል አይሰራም (ከርነል የ NAT ካርታ ስራን በተቃርኖ ስለሚያከማች)።
• ክትትል በሌለው ፖሊሲ ውስጥ "ሁሉንም ፍቀድ" የሚለውን ህግ ሲያልፉ ሁሉም እሽጎች ክትትል እንዳልተደረገባቸው ምልክት ይደረግባቸዋል። ይሄ ሁልጊዜ እርስዎ የሚፈልጉት አይደለም፣ስለዚህ ክትትል በማይደረግባቸው ፖሊሲዎች ስለሚፈቀዱ ፓኬቶች (እና አብዛኛው ትራፊክ በመደበኛ ክትትል የሚደረግባቸው ፖሊሲዎች እንዲያልፍ መፍቀድ) በጣም አስፈላጊ ነው።
• ያልተከታተሉ ፖሊሲዎች በፓኬት ማቀነባበሪያ ቧንቧው መጀመሪያ ላይ ይተገበራሉ። ይህ የካሊኮ ፖሊሲዎችን ሲፈጥሩ ለመረዳት በጣም አስፈላጊ ነው. የፖድ ፖሊሲ በትእዛዝ፡1 እና ክትትል ያልተደረገበት ፖሊሲ ከትእዛዝ፡1000 ጋር ሊኖርዎት ይችላል። ምንም አይሆንም። ክትትል ያልተደረገበት ፖሊሲ ለፖድ ፖሊሲ ከመደረጉ በፊት ይተገበራል። ክትትል ያልተደረገባቸው ፖሊሲዎች የአፈጻጸም ትእዛዝን የሚያከብሩት በመካከላቸው ብቻ ነው።

የdoNotTrack ፖሊሲ አንዱ ዓላማ ፖሊሲውን በሊኑክስ ፓኬት ማቀናበሪያ ቧንቧ መስመር ላይ ማስፈጸም ስለሆነ፣ Calico doNotTrackን ሲጠቀም የአፕሊኬሽን ኦንፎርዋርድን አማራጭ መግለጽ ያስገድዳል። የፓኬት ማቀነባበሪያ ዲያግራምን በመጥቀስ፣ ክትትል ያልተደረገበት(5) መመሪያው ከማንኛቸውም የማዞሪያ ውሳኔዎች በፊት መተግበሩን ልብ ይበሉ። ትራፊክ ወደ አስተናጋጁ ሂደት ሊመራ ይችላል, ወይም ወደ ፖድ ወይም ሌላ መስቀለኛ መንገድ ሊተላለፍ ይችላል.

ውጤቶች

በካሊኮ ውስጥ ያሉትን የተለያዩ የፖሊሲ አማራጮችን (የአስተናጋጅ መጨረሻ ነጥብ፣ አፕሊኦንፎርዋርድ፣ ፕሪዲኤንኤት እና ያልተከታተለ) እና በፓኬት ማቀነባበሪያ ዱካ ላይ እንዴት እንደሚተገበሩ ተመልክተናል። እንዴት እንደሚሠሩ መረዳቱ ውጤታማ እና አስተማማኝ ፖሊሲዎችን ለማዘጋጀት ይረዳል። በካሊኮ አለምአቀፍ የአውታረ መረብ ፖሊሲን በመጠቀም መለያ ላይ (የአንጓዎች እና ፖድዶች ቡድን) እና ከተለያዩ መለኪያዎች ጋር ፖሊሲዎችን መተግበር ይችላሉ። ይህ የደህንነት እና የአውታረ መረብ ንድፍ ባለሙያዎች ከካሊኮ ፖሊሲዎች ጋር አንድ የፖሊሲ ቋንቋ በመጠቀም "ሁሉንም ነገር" (የመጨረሻ ነጥብ ዓይነቶችን) በአንድ ጊዜ እንዲጠብቁ ያስችላቸዋል።

ምስጋና፡ ማመስገን እፈልጋለሁ ሾን ክራምፕተን и አሌክሳ ፖሊታ ለግምገማቸው እና ጠቃሚ መረጃ.

ምንጭ: hab.com