🥇ক্যালিকোর সাথে নেটওয়ার্ক নীতি ব্যবহারের ক্ষেত্রে বোঝা

ক্যালিকো নেটওয়ার্ক প্লাগইন হার্ডওয়্যার হোস্ট, ভার্চুয়াল মেশিন এবং পডগুলিকে রক্ষা করার জন্য একটি ইউনিফাইড সিনট্যাক্স সহ নেটওয়ার্ক নীতিগুলির একটি বিস্তৃত পরিসর প্রদান করে। এই নীতিগুলি একটি নামস্থানের মধ্যে প্রয়োগ করা যেতে পারে বা বিশ্বব্যাপী নেটওয়ার্ক নীতি হতে পারে যা প্রযোজ্য হোস্ট শেষ বিন্দু (সরাসরি হোস্টে চলমান অ্যাপ্লিকেশনগুলিকে রক্ষা করতে - হোস্ট একটি সার্ভার বা ভার্চুয়াল মেশিন হতে পারে) অথবা কাজের চাপের শেষ পয়েন্ট (পাত্রে বা হোস্ট করা ভার্চুয়াল মেশিনে চলমান অ্যাপ্লিকেশনগুলিকে রক্ষা করতে)। ক্যালিকো নীতিগুলি আপনাকে preDNAT, unracked, এবং applyOnForward এর মত বিকল্পগুলি ব্যবহার করে প্যাকেটের পথের বিভিন্ন পয়েন্টে নিরাপত্তা ব্যবস্থা প্রয়োগ করার অনুমতি দেয়। এই বিকল্পগুলি কীভাবে কাজ করে তা বোঝা আপনার সামগ্রিক সিস্টেমের নিরাপত্তা এবং কর্মক্ষমতা উন্নত করতে সাহায্য করতে পারে। এই নিবন্ধটি প্যাকেট প্রসেসিং পাথগুলিতে (iptabels চেইন) কী ঘটবে তার উপর জোর দিয়ে হোস্ট এন্ডপয়েন্টগুলিতে প্রয়োগ করা এই ক্যালিকো নীতি বিকল্পগুলির (preDNAT, unraracked এবং applyOnForward) সারাংশ ব্যাখ্যা করে।

এই নিবন্ধটি অনুমান করে যে Kubernetes এবং Calico নেটওয়ার্ক নীতিগুলি কীভাবে কাজ করে সে সম্পর্কে আপনার একটি প্রাথমিক ধারণা রয়েছে৷ যদি না হয়, আমরা এটি চেষ্টা করার পরামর্শ দিই মৌলিক নেটওয়ার্ক নীতি টিউটোরিয়াল и হোস্ট সুরক্ষা টিউটোরিয়াল এই নিবন্ধটি পড়ার আগে ক্যালিকো ব্যবহার করুন। এছাড়াও আমরা আশা করি আপনি কাজ সম্পর্কে একটি প্রাথমিক ধারণা পাবেন iptables- র в Linux.

বস্ত্রবিশেষ বিশ্বব্যাপী নেটওয়ার্ক নীতি আপনাকে লেবেল দ্বারা অ্যাক্সেসের নিয়মগুলির একটি সেট প্রয়োগ করতে দেয় (হোস্ট এবং ওয়ার্কলোড/পডের গ্রুপগুলিতে)। এটি খুবই উপযোগী যদি আপনি ভিন্ন ভিন্ন সিস্টেমগুলি একসাথে ব্যবহার করেন - ভার্চুয়াল মেশিন, সরাসরি হার্ডওয়্যারের একটি সিস্টেম, বা একটি কুবারনেটস অবকাঠামো। উপরন্তু, আপনি ঘোষণামূলক নীতির একটি সেট ব্যবহার করে আপনার ক্লাস্টার (নোড) রক্ষা করতে পারেন এবং আগত ট্র্যাফিকের জন্য নেটওয়ার্ক নীতি প্রয়োগ করতে পারেন (উদাহরণস্বরূপ, নোডপোর্টস বা এক্সটার্নাল আইপি পরিষেবার মাধ্যমে)।

একটি মৌলিক স্তরে, যখন ক্যালিকো একটি পডকে নেটওয়ার্কের সাথে সংযুক্ত করে (নীচের চিত্র দেখুন), এটি একটি ভার্চুয়াল ইথারনেট ইন্টারফেস (ভেথ) ব্যবহার করে হোস্টের সাথে সংযুক্ত করে। পড দ্বারা প্রেরিত ট্র্যাফিক এই ভার্চুয়াল ইন্টারফেস থেকে হোস্টে আসে এবং একইভাবে প্রক্রিয়া করা হয় যেন এটি একটি শারীরিক নেটওয়ার্ক ইন্টারফেস থেকে এসেছে। ডিফল্টরূপে, ক্যালিকো এই ইন্টারফেসের নাম দেয় ক্যালিএক্সএক্সএক্স। যেহেতু ট্র্যাফিক ভার্চুয়াল ইন্টারফেসের মাধ্যমে আসে, এটি iptables এর মধ্য দিয়ে যায় যেন পডটি এক হপ দূরে। অতএব, যখন ট্র্যাফিক একটি পড থেকে/থেকে আসে, তখন এটি হোস্টের দৃষ্টিকোণ থেকে ফরোয়ার্ড করা হয়।

ক্যালিকো চালিত একটি কুবারনেটস নোডে, আপনি একটি ভার্চুয়াল ইন্টারফেস (ভেথ) একটি কাজের চাপে নিম্নরূপ ম্যাপ করতে পারেন। নীচের উদাহরণে, আপনি দেখতে পাচ্ছেন যে veth#10 (calic1cbf1ca0f8) ক্যালিকো-মনিটরিং নেমস্পেসে cnx-manager-* এর সাথে সংযুক্ত।

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

প্রদত্ত যে ক্যালিকো প্রতিটি কাজের চাপের জন্য একটি ভেথ ইন্টারফেস তৈরি করে, এটি কীভাবে নীতিগুলি প্রয়োগ করে? এটি করার জন্য, ক্যালিকো iptables ব্যবহার করে প্যাকেট প্রক্রিয়াকরণ পথের বিভিন্ন চেইনে হুক তৈরি করে।

নীচের চিত্রটি iptables (বা নেটফিল্টার সাবসিস্টেম) এ প্যাকেট প্রক্রিয়াকরণের সাথে জড়িত চেইনগুলি দেখায়। যখন একটি প্যাকেট একটি নেটওয়ার্ক ইন্টারফেসের মাধ্যমে আসে, এটি প্রথমে PREROUTING চেইনের মধ্য দিয়ে যায়। তারপরে একটি রাউটিং সিদ্ধান্ত নেওয়া হয়, এবং এর উপর ভিত্তি করে, প্যাকেটটি হয় INPUT (প্রসেস হোস্ট করার জন্য নির্দেশিত) বা ফরওয়ার্ড (নেটওয়ার্কের একটি পড বা অন্য নোডে নির্দেশিত) এর মধ্য দিয়ে যায়। স্থানীয় প্রক্রিয়া থেকে, প্যাকেটটি তারের পাঠানোর আগে OUTPUT এবং তারপর POSTROUTING চেইনের মধ্য দিয়ে যায়।

উল্লেখ্য যে iptables প্রক্রিয়াকরণের ক্ষেত্রে পড একটি বাহ্যিক সত্তা (veth এর সাথে সংযুক্ত)। আসুন সংক্ষিপ্ত করা যাক:

ফরোয়ার্ড করা ট্রাফিক (ন্যাট, রুটেড বা পড থেকে) প্রিরাউটিং - ফরওয়ার্ড - পোস্টরোটিং চেইনের মধ্য দিয়ে যায়।
স্থানীয় হোস্ট প্রক্রিয়ার ট্র্যাফিক PREROUTING - INPUT চেইনের মধ্য দিয়ে যায়।
স্থানীয় হোস্ট প্রক্রিয়া থেকে ট্রাফিক OUTPUT - POSTROUTING চেইনের মধ্য দিয়ে যায়।

ক্যালিকো নীতির বিকল্পগুলি প্রদান করে যা আপনাকে সমস্ত চেইনে নীতি প্রয়োগ করতে দেয়। এটি মাথায় রেখে, আসুন ক্যালিকোতে উপলব্ধ বিভিন্ন নীতি কনফিগারেশন বিকল্পগুলি দেখি। নীচের বিকল্পগুলির তালিকার সংখ্যাগুলি উপরের চিত্রের সংখ্যাগুলির সাথে মিলে যায়৷

ওয়ার্কলোড এন্ডপয়েন্ট (পড) নীতি
হোস্ট এন্ডপয়েন্ট নীতি
ApplyOnForward অপশন
PreDNAT নীতি
আনট্র্যাকড নীতি

কাজের চাপের এন্ডপয়েন্টে (কুবারনেটস পড বা ওপেনস্ট্যাক ভিএম) নীতিগুলি কীভাবে প্রয়োগ করা হয় তা দেখে শুরু করা যাক এবং তারপর হোস্ট এন্ডপয়েন্টগুলির জন্য নীতির বিকল্পগুলি দেখুন।

কাজের চাপের শেষ পয়েন্ট

ওয়ার্কলোড এন্ডপয়েন্ট নীতি (1)

এটি আপনার kubernetes শুঁটি রক্ষা করার একটি বিকল্প। ক্যালিকো Kubernetes NetworkPolicy-এর সাথে কাজ করতে সমর্থন করে, কিন্তু এটি অতিরিক্ত নীতিও প্রদান করে - Calico NetworkPolicy এবং GlobalNetworkPolicy। ক্যালিকো প্রতিটি পডের (ওয়ার্কলোড) জন্য একটি চেইন তৈরি করে এবং ফরওয়ার্ড চেইনের ফিল্টার টেবিলে কাজের চাপের জন্য ইনপুট এবং আউটপুট চেইনে হুক তৈরি করে।

হোস্ট এন্ডপয়েন্ট

হোস্ট এন্ডপয়েন্ট নীতি (2)

CNI (কন্টেইনার নেটওয়ার্ক ইন্টারফেস) ছাড়াও, ক্যালিকো নীতিগুলি হোস্টকে নিজেই রক্ষা করার ক্ষমতা প্রদান করে। ক্যালিকোতে, আপনি হোস্ট ইন্টারফেসের সংমিশ্রণ এবং প্রয়োজনে পোর্ট নম্বর উল্লেখ করে একটি হোস্ট এন্ডপয়েন্ট তৈরি করতে পারেন। INPUT এবং OUTPUT চেইনে একটি ফিল্টার টেবিল ব্যবহার করে এই সত্তার জন্য নীতি প্রয়োগ করা হয়। আপনি ডায়াগ্রাম থেকে দেখতে পাচ্ছেন, (2) তারা নোড/হোস্টের স্থানীয় প্রক্রিয়াগুলিতে প্রয়োগ করে। অর্থাৎ, আপনি যদি হোস্ট এন্ডপয়েন্টে প্রযোজ্য একটি নীতি তৈরি করেন, তাহলে এটি আপনার পড থেকে/থেকে যাওয়া ট্রাফিককে প্রভাবিত করবে না। কিন্তু এটি ক্যালিকো নীতিগুলি ব্যবহার করে আপনার হোস্ট এবং পডগুলির জন্য ট্র্যাফিক ব্লক করার জন্য একটি একক ইন্টারফেস/সিনট্যাক্স প্রদান করে। এটি একটি ভিন্নধর্মী নেটওয়ার্কের জন্য নীতি পরিচালনার প্রক্রিয়াটিকে ব্যাপকভাবে সরল করে। ক্লাস্টার নিরাপত্তা বাড়ানোর জন্য হোস্ট এন্ডপয়েন্ট নীতিগুলি কনফিগার করা আরেকটি গুরুত্বপূর্ণ ব্যবহারের ক্ষেত্রে।

অনফরওয়ার্ড নীতি প্রয়োগ করুন (3)

ক্যালিকো গ্লোবাল নেটওয়ার্ক পলিসিতে ApplyOnForward বিকল্পটি উপলভ্য রয়েছে যাতে হোস্ট এন্ডপয়েন্টের মধ্য দিয়ে যাওয়া সমস্ত ট্র্যাফিকের উপর নীতি প্রয়োগ করার অনুমতি দেয়, যার মধ্যে ট্রাফিক হোস্ট দ্বারা ফরওয়ার্ড করা হবে। এর মধ্যে রয়েছে স্থানীয় পড বা নেটওয়ার্কের অন্য কোথাও ফরওয়ার্ড করা ট্রাফিক। প্রিডিএনএটি ব্যবহার করে নীতিগুলির জন্য ক্যালিকোর এই সেটিং সক্ষম করা প্রয়োজন এবং ট্র্যাক করা হয়নি, নিম্নলিখিত বিভাগগুলি দেখুন৷ উপরন্তু, ApplyOnForward একটি ভার্চুয়াল রাউটার বা সফ্টওয়্যার NAT ব্যবহার করা হয় এমন ক্ষেত্রে হোস্ট ট্র্যাফিক নিরীক্ষণ করতে ব্যবহার করা যেতে পারে।

মনে রাখবেন যে আপনি যদি হোস্ট প্রসেস এবং পড উভয় ক্ষেত্রেই একই নেটওয়ার্ক নীতি প্রয়োগ করতে চান, তাহলে আপনাকে ApplyOnForward বিকল্পটি ব্যবহার করতে হবে না। আপনাকে যা করতে হবে তা হল প্রয়োজনীয় হোস্টেন্ডপয়েন্ট এবং ওয়ার্কলোড এন্ডপয়েন্ট (পড) এর জন্য একটি লেবেল তৈরি করা। ক্যালিকো এন্ডপয়েন্ট টাইপ (হোস্টেন্ডপয়েন্ট বা কাজের চাপ) নির্বিশেষে লেবেলের উপর ভিত্তি করে নীতি প্রয়োগ করতে যথেষ্ট স্মার্ট।

PreDNAT নীতি (4)

Kubernetes-এ, পরিষেবা সত্তা পোর্টগুলি নোডপোর্টস বিকল্প ব্যবহার করে বা ঐচ্ছিকভাবে (ক্যালিকো ব্যবহার করার সময়) ক্লাস্টার আইপি বা বাহ্যিক আইপি বিকল্পগুলি ব্যবহার করে বিজ্ঞাপনের মাধ্যমে বাহ্যিকভাবে প্রকাশ করা যেতে পারে। কুবে-প্রক্সি ডিএনএটি ব্যবহার করে সংশ্লিষ্ট পরিষেবার পডগুলিতে একটি পরিষেবাতে আবদ্ধ আগত ট্র্যাফিকের ভারসাম্য বজায় রাখে। এটি প্রদত্ত, আপনি কীভাবে নোডপোর্টের মাধ্যমে ট্র্যাফিকের জন্য নীতিগুলি প্রয়োগ করবেন? DNAT দ্বারা ট্র্যাফিক প্রক্রিয়া করার আগে এই নীতিগুলি প্রয়োগ করা হয়েছে তা নিশ্চিত করতে (যা হোস্ট:পোর্ট এবং সংশ্লিষ্ট পরিষেবার মধ্যে একটি ম্যাপিং), ক্যালিকো "প্রিডিএনএটি: সত্য" নামক গ্লোবালনেটওয়ার্ক পলিসির জন্য একটি প্যারামিটার সরবরাহ করে।

যখন প্রি-ডিএনএটি সক্ষম করা হয়, তখন এই নীতিগুলি (4) ডায়াগ্রামে প্রয়োগ করা হয় - PREROUTING চেইনের ম্যাঙ্গেল টেবিলে - DNAT এর ঠিক আগে। নীতির স্বাভাবিক ক্রম এখানে অনুসরণ করা হয় না, যেহেতু এই নীতিগুলির প্রয়োগ ট্র্যাফিক প্রক্রিয়াকরণের পথে অনেক আগে ঘটে। যাইহোক, preDNAT নীতিগুলি নিজেদের মধ্যে আবেদনের ক্রমকে সম্মান করে।

প্রি-ডিএনএটি দিয়ে নীতি তৈরি করার সময়, আপনি যে ট্র্যাফিক প্রক্রিয়া করতে চান সে সম্পর্কে সতর্কতা অবলম্বন করা এবং সংখ্যাগরিষ্ঠকে প্রত্যাখ্যান করার অনুমতি দেওয়া গুরুত্বপূর্ণ। প্রাক-DNAT নীতিতে 'অনুমতি' হিসাবে চিহ্নিত ট্র্যাফিক হোস্টেন্ডপয়েন্ট নীতি দ্বারা আর চেক করা হবে না, যখন ট্র্যাফিক যেগুলি প্রাক-DNAT নীতিতে ব্যর্থ হয় তা অবশিষ্ট চেইনের মাধ্যমে চলতে থাকবে।
ক্যালিকো preDNAT ব্যবহার করার সময় applyOnForward বিকল্পটি সক্ষম করা বাধ্যতামূলক করেছে, যেহেতু সংজ্ঞা অনুসারে ট্রাফিকের গন্তব্য এখনও নির্বাচন করা হয়নি। ট্র্যাফিক হোস্ট প্রক্রিয়া নির্দেশিত করা যেতে পারে, অথবা এটি একটি পড বা অন্য নোড ফরোয়ার্ড করা যেতে পারে.

আনট্র্যাকড নীতি (5)

নেটওয়ার্ক এবং অ্যাপ্লিকেশনগুলোর আচরণে উল্লেখযোগ্য পার্থক্য দেখা যেতে পারে। কিছু চরম ক্ষেত্রে, অ্যাপ্লিকেশনগুলো অসংখ্য স্বল্পস্থায়ী সংযোগ তৈরি করতে পারে। এর ফলে কনট্র্যাক্ট (নেটওয়ার্ক স্ট্যাকের একটি মূল উপাদান)-এর মেমোরি শেষ হয়ে যেতে পারে। Linuxঐতিহ্যগতভাবে, এই ধরনের অ্যাপ্লিকেশন চালানোর জন্য Linux আপনাকে ম্যানুয়ালি কনট্র্যাক কনফিগার বা নিষ্ক্রিয় করতে হবে, অথবা কনট্র্যাক বাইপাস করার জন্য আইপিটেবলস (iptables) নিয়ম লিখতে হবে। আপনি যদি যত দ্রুত সম্ভব সংযোগগুলি প্রক্রিয়া করতে চান, তবে ক্যালিকোর আনট্র্যাকড পলিসি একটি সহজ এবং আরও কার্যকর বিকল্প। উদাহরণস্বরূপ, যদি আপনি একটি বিশাল সংখ্যক সংযোগ ব্যবহার করেন... মেমক্যাশে বা বিরুদ্ধে সুরক্ষার একটি অতিরিক্ত পরিমাপ হিসাবে DDOS.

এই পড়ুন ব্লগ পোস্ট (বা আমাদের অনুবাদ) আনট্র্যাকড নীতি ব্যবহার করে কর্মক্ষমতা পরীক্ষা সহ আরও তথ্যের জন্য।

যখন আপনি Calico globalNetworkPolicy-তে 'doNotTrack: true' অপশনটি সেট করেন, তখন এটি একটি **নো-ট্র্যাক** পলিসিতে পরিণত হয় এবং প্যাকেট প্রসেসিং পাইপলাইনের একেবারে প্রাথমিক পর্যায়ে প্রয়োগ করা হয়। Linuxউপরের ডায়াগ্রামটি দেখলে বোঝা যায়, কানেকশন ট্র্যাকিং (conntrack) শুরু হওয়ার আগে র টেবিলের PREROUTING এবং OUTPUT চেইনে আনট্র্যাকড পলিসিগুলো প্রয়োগ করা হয়। যখন কোনো প্যাকেট একটি আনট্র্যাকড পলিসি দ্বারা অনুমোদিত হয়, তখন সেই প্যাকেটের জন্য কানেকশন ট্র্যাকিং নিষ্ক্রিয় করতে এটিকে চিহ্নিত করা হয়। এর মানে হলো:

আনট্র্যাকড নীতি প্রতি-প্যাকেট ভিত্তিতে প্রয়োগ করা হয়। সংযোগের (বা প্রবাহ) কোন ধারণা নেই। সংযোগের অভাবের বেশ কয়েকটি গুরুত্বপূর্ণ পরিণতি রয়েছে:
আপনি যদি অনুরোধ এবং প্রতিক্রিয়া উভয় ট্র্যাফিকের অনুমতি দিতে চান, তাহলে আপনার ইনবাউন্ড এবং আউটবাউন্ড উভয়ের জন্য একটি নিয়ম প্রয়োজন (যেহেতু ক্যালিকো সাধারণত প্রতিক্রিয়া ট্র্যাফিককে অনুমোদিত হিসাবে চিহ্নিত করতে কনট্র্যাক ব্যবহার করে)।
আনট্র্যাকড নীতি Kubernetes ওয়ার্কলোড (পড) এর জন্য কাজ করে না, কারণ এই ক্ষেত্রে পড থেকে বহির্গামী সংযোগ ট্র্যাক করার কোন উপায় নেই।
NAT আনট্র্যাকড প্যাকেটগুলির সাথে সঠিকভাবে কাজ করে না (যেহেতু কার্নেল কনট্রাকে NAT ম্যাপিং সংরক্ষণ করে)।
আনট্র্যাকড নীতিতে "সমস্তকে অনুমতি দিন" নিয়মের মধ্য দিয়ে যাওয়ার সময়, সমস্ত প্যাকেট আনট্র্যাকড হিসাবে চিহ্নিত করা হবে। এটি প্রায় সবসময়ই আপনি যা চান তা হয় না, তাই আনট্র্যাক করা নীতিগুলির দ্বারা অনুমোদিত প্যাকেটগুলি সম্পর্কে খুব নির্বাচনী হওয়া গুরুত্বপূর্ণ (এবং বেশিরভাগ ট্র্যাফিককে স্বাভাবিক ট্র্যাক করা নীতিগুলির মাধ্যমে যেতে দেয়)৷
আনট্র্যাকড নীতিগুলি প্যাকেট প্রক্রিয়াকরণ পাইপলাইনের একেবারে শুরুতে প্রয়োগ করা হয়। ক্যালিকো নীতিগুলি তৈরি করার সময় এটি বোঝা খুবই গুরুত্বপূর্ণ৷ আপনার অর্ডার সহ একটি পড পলিসি থাকতে পারে:1 এবং অর্ডার:1000 সহ একটি আনট্র্যাকড পলিসি। এটা কোন ব্যাপার না. পডের জন্য নীতির আগে আনট্র্যাকড নীতি প্রয়োগ করা হবে। আনট্র্যাকড নীতিগুলি শুধুমাত্র নিজেদের মধ্যে মৃত্যুদন্ডের আদেশকে সম্মান করে৷

যেহেতু doNotTrack পলিসির অন্যতম লক্ষ্য হলো প্যাকেট প্রসেসিং পাইপলাইনের যত তাড়াতাড়ি সম্ভব প্রাথমিক পর্যায়ে নীতিটি প্রয়োগ করা, LinuxdoNotTrack ব্যবহার করার সময় Calico-তে applyOnForward অপশনটি প্রয়োজন। প্যাকেট প্রসেসিং ডায়াগ্রামটি দেখলে বোঝা যায় যে, যেকোনো রাউটিং সিদ্ধান্তের আগে আনট্র্যাকড (5) পলিসি প্রয়োগ করা হয়। ট্র্যাফিককে হোস্ট প্রসেসে পাঠানো যেতে পারে, অথবা এটিকে একটি পড বা অন্য কোনো নোডে ফরোয়ার্ড করা যেতে পারে।

ফলাফল

আমরা ক্যালিকোতে বিভিন্ন নীতির বিকল্পগুলি (হোস্ট এন্ডপয়েন্ট, অ্যাপ্লাইঅনফরওয়ার্ড, প্রিডিএনএটি এবং আনট্র্যাকড) দেখেছি এবং কীভাবে সেগুলি প্যাকেট প্রক্রিয়াকরণের পথে প্রয়োগ করা হয়। তারা কীভাবে কাজ করে তা বোঝা কার্যকর এবং নিরাপদ নীতি বিকাশে সহায়তা করে। ক্যালিকোর সাথে আপনি একটি বৈশ্বিক নেটওয়ার্ক নীতি ব্যবহার করতে পারেন যা একটি লেবেলে (নোড এবং পডের একটি গ্রুপ) প্রযোজ্য এবং বিভিন্ন পরামিতি সহ নীতি প্রয়োগ করতে পারেন। এটি নিরাপত্তা এবং নেটওয়ার্ক ডিজাইন পেশাদারদের ক্যালিকো নীতির সাথে একটি একক নীতি ভাষা ব্যবহার করে একবারে "সবকিছু" (এন্ডপয়েন্ট প্রকারগুলি) সুরক্ষিত করতে দেয়।

স্বীকৃতি: আমি ধন্যবাদ জানাতে চাই শন ক্র্যাম্পটন и আলেক্সা পোলিটা তাদের পর্যালোচনা এবং মূল্যবান তথ্যের জন্য।

উত্স: www.habr.com