🥇 કેલિકો સાથે નેટવર્ક નીતિ વિકલ્પોને સમજવું

કેલિકો નેટવર્ક પ્લગઇન હાર્ડવેર હોસ્ટ, વર્ચ્યુઅલ મશીનો અને પોડ્સને સુરક્ષિત રાખવા માટે એકીકૃત વાક્યરચના સાથે નેટવર્ક નીતિઓની વિશાળ શ્રેણી પૂરી પાડે છે. આ નીતિઓ નેમસ્પેસની અંદર લાગુ કરી શકાય છે અથવા વૈશ્વિક નેટવર્ક નીતિઓ કે જેના પર લાગુ થાય છે હોસ્ટ એન્ડપોઇન્ટ (સીધા હોસ્ટ પર ચાલતી એપ્લિકેશનોને સુરક્ષિત કરવા - હોસ્ટ સર્વર અથવા વર્ચ્યુઅલ મશીન હોઈ શકે છે) અથવા વર્કલોડ એન્ડપોઇન્ટ (કન્ટેનર્સ અથવા હોસ્ટ કરેલ વર્ચ્યુઅલ મશીનોમાં ચાલતી એપ્લિકેશનોને સુરક્ષિત કરવા માટે). કેલિકો પોલિસી તમને preDNAT, unraracked અને applyOnForward જેવા વિકલ્પોનો ઉપયોગ કરીને પેકેટના પાથમાં વિવિધ બિંદુઓ પર સુરક્ષા પગલાં લાગુ કરવાની મંજૂરી આપે છે. આ વિકલ્પો કેવી રીતે કાર્ય કરે છે તે સમજવાથી તમારી એકંદર સિસ્ટમની સુરક્ષા અને કામગીરી બહેતર બનાવવામાં મદદ મળી શકે છે. આ લેખ પેકેટ પ્રોસેસિંગ પાથ (iptabels સાંકળો) માં શું થાય છે તેના પર ભાર મૂકવા સાથે, હોસ્ટ એન્ડપોઇન્ટ્સ પર લાગુ કરવામાં આવેલા આ કેલિકો પોલિસી વિકલ્પો (preDNAT, unraracked અને applyOnForward) ના સારને સમજાવે છે.

આ લેખ ધારે છે કે કુબરનેટ્સ અને કેલિકો નેટવર્ક નીતિઓ કેવી રીતે કાર્ય કરે છે તેની તમને મૂળભૂત સમજ છે. જો નહિં, તો અમે તેને અજમાવવાની ભલામણ કરીએ છીએ મૂળભૂત નેટવર્ક નીતિ ટ્યુટોરીયલ и યજમાન સુરક્ષા ટ્યુટોરીયલ આ લેખ વાંચતા પહેલા કેલિકોનો ઉપયોગ કરો. અમે પણ અપેક્ષા રાખીએ છીએ કે તમે કાર્યની મૂળભૂત સમજ ધરાવો છો iptables લિનક્સમાં.

કાલિકો વૈશ્વિક નેટવર્ક નીતિ તમને લેબલ્સ દ્વારા એક્સેસ નિયમોનો સમૂહ લાગુ કરવાની મંજૂરી આપે છે (યજમાનોના જૂથો અને વર્કલોડ/પોડ્સ માટે). આ ખૂબ જ ઉપયોગી છે જો તમે વિજાતીય સિસ્ટમોનો એકસાથે ઉપયોગ કરો છો - વર્ચ્યુઅલ મશીનો, સીધી હાર્ડવેર પરની સિસ્ટમ, અથવા કુબરનેટ્સ ઈન્ફ્રાસ્ટ્રક્ચર. વધુમાં, તમે ઘોષણાત્મક નીતિઓના સમૂહનો ઉપયોગ કરીને તમારા ક્લસ્ટર (નોડ્સ) ને સુરક્ષિત કરી શકો છો અને આવનારા ટ્રાફિક પર નેટવર્ક નીતિઓ લાગુ કરી શકો છો (ઉદાહરણ તરીકે, નોડપોર્ટ્સ અથવા બાહ્ય IPs સેવા દ્વારા).

મૂળભૂત સ્તરે, જ્યારે કેલિકો પોડને નેટવર્ક સાથે જોડે છે (નીચેનો આકૃતિ જુઓ), તે તેને વર્ચ્યુઅલ ઈથરનેટ ઈન્ટરફેસ (વેથ) નો ઉપયોગ કરીને હોસ્ટ સાથે જોડે છે. પોડ દ્વારા મોકલવામાં આવેલ ટ્રાફિક આ વર્ચ્યુઅલ ઈન્ટરફેસમાંથી હોસ્ટ પર આવે છે અને તે જ રીતે પ્રક્રિયા કરવામાં આવે છે જેમ કે તે ભૌતિક નેટવર્ક ઈન્ટરફેસમાંથી આવે છે. મૂળભૂત રીતે, કેલિકો આ ઇન્ટરફેસને caliXXX નામ આપે છે. ટ્રાફિક વર્ચ્યુઅલ ઈન્ટરફેસ દ્વારા આવતો હોવાથી, તે iptablesમાંથી પસાર થાય છે જાણે પોડ એક હોપ દૂર હોય. તેથી, જ્યારે ટ્રાફિક પોડ પર/થી આવે છે, ત્યારે તેને યજમાનના દૃષ્ટિકોણથી આગળ મોકલવામાં આવે છે.

કેલિકો ચલાવતા કુબરનેટ્સ નોડ પર, તમે વર્ચ્યુઅલ ઈન્ટરફેસ (વેથ) ને નીચે પ્રમાણે વર્કલોડ સાથે મેપ કરી શકો છો. નીચેના ઉદાહરણમાં, તમે જોઈ શકો છો કે veth#10 (calic1cbf1ca0f8) cnx-manager-* સાથે કેલિકો-મોનિટરિંગ નેમસ્પેસમાં જોડાયેલ છે.

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

આપેલ છે કે કેલિકો દરેક વર્કલોડ માટે વેથ ઇન્ટરફેસ બનાવે છે, તે નીતિઓને કેવી રીતે લાગુ કરે છે? આ કરવા માટે, કેલિકો iptables નો ઉપયોગ કરીને પેકેટ પ્રોસેસિંગ પાથની વિવિધ સાંકળોમાં હુક્સ બનાવે છે.

નીચેનો આકૃતિ iptables (અથવા નેટફિલ્ટર સબસિસ્ટમ) માં પેકેટ પ્રક્રિયામાં સંકળાયેલી સાંકળો દર્શાવે છે. જ્યારે કોઈ પેકેટ નેટવર્ક ઈન્ટરફેસ દ્વારા આવે છે, ત્યારે તે પહેલા PREROUTING સાંકળમાંથી પસાર થાય છે. પછી એક રૂટીંગ નિર્ણય લેવામાં આવે છે, અને તેના આધારે, પેકેટ કાં તો INPUT (પ્રક્રિયાઓને હોસ્ટ કરવા માટે નિર્દેશિત) અથવા ફોરવર્ડ (નેટવર્ક પર પોડ અથવા અન્ય નોડ પર નિર્દેશિત)માંથી પસાર થાય છે. સ્થાનિક પ્રક્રિયામાંથી, કેબલ નીચે મોકલતા પહેલા પેકેટ OUTPUT અને પછી POSTROUTING સાંકળમાંથી પસાર થાય છે.

નોંધ કરો કે પોડ એ iptables પ્રક્રિયાના સંદર્ભમાં બાહ્ય એન્ટિટી (વેથ સાથે જોડાયેલ) પણ છે. ચાલો સારાંશ આપીએ:

ફોરવર્ડ થયેલ ટ્રાફિક (નેટ, રૂટ કરેલ અથવા પોડમાંથી/એક પોડ) પ્રીરાઉટીંગ - ફોરવર્ડ - પોસ્ટરોટીંગ ચેનમાંથી પસાર થાય છે.
સ્થાનિક હોસ્ટ પ્રક્રિયાનો ટ્રાફિક PREROUTING - INPUT સાંકળમાંથી પસાર થાય છે.
સ્થાનિક હોસ્ટ પ્રક્રિયામાંથી ટ્રાફિક OUTPUT - POSTROUTING સાંકળમાંથી પસાર થાય છે.

કેલિકો નીતિ વિકલ્પો પ્રદાન કરે છે જે તમને બધી સાંકળોમાં નીતિઓ લાગુ કરવાની મંજૂરી આપે છે. તે ધ્યાનમાં રાખીને, ચાલો કેલિકોમાં ઉપલબ્ધ વિવિધ પોલિસી રૂપરેખાંકન વિકલ્પો જોઈએ. નીચેના વિકલ્પોની સૂચિમાંની સંખ્યાઓ ઉપરની રેખાકૃતિમાંની સંખ્યાઓને અનુરૂપ છે.

વર્કલોડ એન્ડપોઇન્ટ (પોડ) નીતિ
હોસ્ટ એન્ડપોઇન્ટ નીતિ
ApplyOnForward વિકલ્પ
PreDNAT નીતિ
અનટ્રેક કરેલ નીતિ

ચાલો વર્કલોડ એન્ડપોઇન્ટ્સ (કુબરનેટ્સ પોડ્સ અથવા ઓપનસ્ટૅક VMs) પર નીતિઓ કેવી રીતે લાગુ થાય છે તે જોઈને શરૂ કરીએ અને પછી હોસ્ટ એન્ડપોઇન્ટ્સ માટેના નીતિ વિકલ્પો જોઈએ.

વર્કલોડ એન્ડપોઇન્ટ્સ

વર્કલોડ એન્ડપોઇન્ટ પોલિસી (1)

આ તમારા kubernetes શીંગો સુરક્ષિત કરવા માટે એક વિકલ્પ છે. કેલિકો કુબરનેટ્સ નેટવર્કપોલીસી સાથે કામ કરવાનું સમર્થન કરે છે, પરંતુ તે વધારાની નીતિઓ પણ પ્રદાન કરે છે - કેલિકો નેટવર્કપોલીસી અને ગ્લોબલનેટવર્કપોલીસી. કેલિકો દરેક પોડ (વર્કલોડ) માટે એક સાંકળ બનાવે છે અને ફોરવર્ડ ચેઇનના ફિલ્ટર ટેબલ પર વર્કલોડ માટે INPUT અને OUTPUT સાંકળોમાં હૂક બનાવે છે.

હોસ્ટ એન્ડપોઇન્ટ્સ

હોસ્ટ એન્ડપોઇન્ટ પોલિસી (2)

CNI (કન્ટેનર નેટવર્ક ઇન્ટરફેસ) ઉપરાંત, કેલિકો નીતિઓ હોસ્ટને જ સુરક્ષિત કરવાની ક્ષમતા પ્રદાન કરે છે. કેલિકોમાં, તમે યજમાન ઈન્ટરફેસના સંયોજનનો ઉલ્લેખ કરીને અને જો જરૂરી હોય તો, પોર્ટ નંબર્સનો ઉલ્લેખ કરીને હોસ્ટ એન્ડપોઈન્ટ બનાવી શકો છો. આ એન્ટિટી માટે નીતિ અમલીકરણ INPUT અને OUTPUT સાંકળોમાં ફિલ્ટર ટેબલનો ઉપયોગ કરીને પ્રાપ્ત થાય છે. જેમ તમે ડાયાગ્રામમાંથી જોઈ શકો છો, (2) તેઓ નોડ/હોસ્ટ પરની સ્થાનિક પ્રક્રિયાઓને લાગુ પડે છે. એટલે કે, જો તમે હોસ્ટ એન્ડપોઇન્ટને લાગુ પડતી નીતિ બનાવો છો, તો તે તમારા પોડ પર/થી જતા ટ્રાફિકને અસર કરશે નહીં. પરંતુ તે કેલિકો પોલિસીનો ઉપયોગ કરીને તમારા હોસ્ટ અને પોડ્સ માટે ટ્રાફિકને અવરોધિત કરવા માટે એક જ ઇન્ટરફેસ/સિન્ટેક્સ પ્રદાન કરે છે. આ વિજાતીય નેટવર્ક માટે નીતિઓનું સંચાલન કરવાની પ્રક્રિયાને મોટા પ્રમાણમાં સરળ બનાવે છે. ક્લસ્ટર સુરક્ષાને વધારવા માટે હોસ્ટ એન્ડપોઇન્ટ પોલિસીને રૂપરેખાંકિત કરવી એ અન્ય મહત્વપૂર્ણ ઉપયોગ કેસ છે.

ઓનફોરવર્ડ પોલિસી લાગુ કરો (3)

કેલિકો ગ્લોબલ નેટવર્ક પોલિસીમાં ApplyOnForward વિકલ્પ ઉપલબ્ધ છે જે હોસ્ટ દ્વારા ફોરવર્ડ કરવામાં આવનાર ટ્રાફિક સહિત હોસ્ટ એન્ડપોઇન્ટમાંથી પસાર થતા તમામ ટ્રાફિક પર નીતિઓને લાગુ કરવાની મંજૂરી આપવા માટે ઉપલબ્ધ છે. આમાં સ્થાનિક પોડ અથવા નેટવર્ક પર બીજે ક્યાંય ફોરવર્ડ કરાયેલ ટ્રાફિકનો સમાવેશ થાય છે. કેલિકોને PreDNAT નો ઉપયોગ કરીને નીતિઓ માટે આ સેટિંગ સક્ષમ કરવાની અને અનટ્રેક કરવાની જરૂર છે, નીચેના વિભાગો જુઓ. વધુમાં, ApplyOnForward નો ઉપયોગ વર્ચ્યુઅલ રાઉટર અથવા સોફ્ટવેર NAT નો ઉપયોગ કરવામાં આવ્યો હોય તેવા કિસ્સામાં હોસ્ટ ટ્રાફિકને મોનિટર કરવા માટે કરી શકાય છે.

નોંધ કરો કે જો તમારે હોસ્ટ પ્રક્રિયાઓ અને પોડ્સ બંને માટે સમાન નેટવર્ક નીતિ લાગુ કરવાની જરૂર હોય, તો તમારે ApplyOnForward વિકલ્પનો ઉપયોગ કરવાની જરૂર નથી. તમારે ફક્ત જરૂરી હોસ્ટેન્ડપોઇન્ટ અને વર્કલોડ એન્ડપોઇન્ટ (પોડ) માટે એક લેબલ બનાવવાની જરૂર છે. કેલિકો એન્ડપોઇન્ટ પ્રકાર (હોસ્ટેન્ડપોઇન્ટ અથવા વર્કલોડ) ને ધ્યાનમાં લીધા વિના, લેબલ પર આધારિત નીતિ લાગુ કરવા માટે પૂરતી સ્માર્ટ છે.

PreDNAT નીતિ (4)

કુબરનેટ્સમાં, નોડપોર્ટ્સ વિકલ્પનો ઉપયોગ કરીને અથવા વૈકલ્પિક રીતે (કેલિકોનો ઉપયોગ કરતી વખતે) ક્લસ્ટર આઈપી અથવા એક્સટર્નલ આઈપી વિકલ્પોનો ઉપયોગ કરીને જાહેરાત કરીને સેવા એન્ટિટી પોર્ટ્સને બાહ્ય રીતે એક્સપોઝ કરી શકાય છે. કુબે-પ્રોક્સી ડીએનએટીનો ઉપયોગ કરીને સંબંધિત સેવાના પોડ્સ માટે સેવા સાથે બંધાયેલા ઇનકમિંગ ટ્રાફિકને સંતુલિત કરે છે. આ જોતાં, તમે નોડપોર્ટ્સ દ્વારા આવતા ટ્રાફિક માટેની નીતિઓ કેવી રીતે લાગુ કરશો? DNAT (જે હોસ્ટ:પોર્ટ અને અનુરૂપ સેવા વચ્ચેનું મેપિંગ છે) દ્વારા ટ્રાફિકની પ્રક્રિયા થાય તે પહેલાં આ નીતિઓ લાગુ કરવામાં આવે તેની ખાતરી કરવા માટે, કેલિકો વૈશ્વિક નેટવર્ક પોલિસી માટે "preDNAT: true" નામનું પરિમાણ પૂરું પાડે છે.

જ્યારે પ્રી-ડીએનએટી સક્ષમ હોય, ત્યારે આ નીતિઓ (4) માં ડાયાગ્રામમાં - PREROUTING સાંકળના મેંગલ ટેબલમાં - DNAT પહેલા તરત જ લાગુ કરવામાં આવે છે. અહીં નીતિઓના સામાન્ય ક્રમનું પાલન કરવામાં આવતું નથી, કારણ કે આ નીતિઓનો ઉપયોગ ટ્રાફિક પ્રક્રિયાના માર્ગમાં ખૂબ પહેલા થાય છે. જો કે, preDNAT નીતિઓ એકબીજાની વચ્ચે અરજીના ક્રમને માન આપે છે.

પ્રી-ડીએનએટી સાથે નીતિઓ બનાવતી વખતે, તમે જે ટ્રાફિક પર પ્રક્રિયા કરવા માગો છો તેના વિશે સાવચેત રહેવું અને બહુમતીને નકારવાની મંજૂરી આપવી મહત્વપૂર્ણ છે. પૂર્વ-DNAT નીતિમાં 'મંજૂરી આપો' તરીકે ચિહ્નિત થયેલ ટ્રાફિક હવે હોસ્ટેન્ડપોઇન્ટ નીતિ દ્વારા તપાસવામાં આવશે નહીં, જ્યારે ટ્રાફિક કે જે પૂર્વ-DNAT નીતિને નિષ્ફળ કરે છે તે બાકીની સાંકળોમાં ચાલુ રહેશે.
કેલિકોએ preDNAT નો ઉપયોગ કરતી વખતે applyOnForward વિકલ્પને સક્ષમ કરવાનું ફરજિયાત બનાવ્યું છે, કારણ કે વ્યાખ્યા મુજબ ટ્રાફિકનું ગંતવ્ય હજી પસંદ કરવામાં આવ્યું નથી. ટ્રાફિકને હોસ્ટ પ્રક્રિયા તરફ નિર્દેશિત કરી શકાય છે, અથવા તેને પોડ અથવા અન્ય નોડ પર મોકલી શકાય છે.

અનટ્રેક કરેલ નીતિ (5)

નેટવર્ક અને એપ્લીકેશનમાં વર્તનમાં મોટા તફાવત હોઈ શકે છે. કેટલાક આત્યંતિક કિસ્સાઓમાં, એપ્લિકેશનો ઘણા ટૂંકા ગાળાના જોડાણો પેદા કરી શકે છે. આનાથી કોન્ટ્રાક (લિનક્સ નેટવર્કિંગ સ્ટેકનો મુખ્ય ઘટક) મેમરી સમાપ્ત થઈ શકે છે. પરંપરાગત રીતે, Linux પર આ પ્રકારની એપ્લિકેશનો ચલાવવા માટે, તમારે કોન્ટ્રાકને મેન્યુઅલી રૂપરેખાંકિત અથવા અક્ષમ કરવું પડશે, અથવા કોન્ટ્રાકને બાયપાસ કરવા માટે iptables નિયમો લખવા પડશે. જો તમે શક્ય તેટલી ઝડપથી કનેક્શન્સ પર પ્રક્રિયા કરવા માંગતા હોવ તો કેલિકોમાં અનટ્રેક કરેલ નીતિ એ એક સરળ અને વધુ કાર્યક્ષમ વિકલ્પ છે. ઉદાહરણ તરીકે, જો તમે મોટા પ્રમાણમાં ઉપયોગ કરો છો memcache અથવા સામે રક્ષણના વધારાના માપદંડ તરીકે ડીડીઓએસ.

આ વાંચો બ્લોગ પોસ્ટ (અથવા અમારું અનુવાદ) અનટ્રેક કરેલ નીતિનો ઉપયોગ કરીને પ્રદર્શન પરીક્ષણો સહિત વધુ માહિતી માટે.

જ્યારે તમે Calico globalNetworkPolicy માં "doNotTrack: true" વિકલ્પ સેટ કરો છો, ત્યારે તે **અનટ્રેક કરેલ** નીતિ બની જાય છે અને Linux પેકેટ પ્રોસેસિંગ પાઇપલાઇનમાં ખૂબ જ વહેલી લાગુ થાય છે. ઉપરોક્ત રેખાકૃતિને જોતાં, કનેક્શન ટ્રેકિંગ (કોન્ટ્રેક) શરૂ થાય તે પહેલાં કાચા કોષ્ટકમાં પ્રીરાઉટિંગ અને આઉટપુટ ચેઇન્સમાં અનટ્રેક કરેલી નીતિઓ લાગુ કરવામાં આવે છે. જ્યારે અનટ્રેક કરેલ નીતિ દ્વારા પેકેટને મંજૂરી આપવામાં આવે છે, ત્યારે તે પેકેટ માટે કનેક્શન ટ્રેકિંગને અક્ષમ કરવા માટે ચિહ્નિત કરવામાં આવે છે. આનો મતલબ:

અનટ્રેક કરેલ નીતિ પેકેટ દીઠ આધારે લાગુ કરવામાં આવે છે. જોડાણ (અથવા પ્રવાહ) નો કોઈ ખ્યાલ નથી. જોડાણોના અભાવના ઘણા મહત્વપૂર્ણ પરિણામો છે:
જો તમે વિનંતી અને પ્રતિસાદ બંને ટ્રાફિકને મંજૂરી આપવા માંગતા હો, તો તમારે ઇનબાઉન્ડ અને આઉટબાઉન્ડ બંને માટે એક નિયમની જરૂર છે (કારણ કે કેલિકો સામાન્ય રીતે પ્રતિસાદ ટ્રાફિકને મંજૂરી તરીકે ચિહ્નિત કરવા માટે કોન્ટ્રાકનો ઉપયોગ કરે છે).
અનટ્રેક કરેલ નીતિ કુબરનેટ્સ વર્કલોડ (પોડ્સ) માટે કામ કરતી નથી, કારણ કે આ કિસ્સામાં પોડમાંથી આઉટગોઇંગ કનેક્શનને ટ્રૅક કરવાની કોઈ રીત નથી.
NAT અનટ્રેક કરેલા પેકેટો સાથે યોગ્ય રીતે કામ કરતું નથી (કારણ કે કર્નલ NAT મેપિંગને કોન્ટ્રાકમાં સંગ્રહિત કરે છે).
અનટ્રેક કરેલ નીતિમાં "બધાને મંજૂરી આપો" નિયમમાંથી પસાર થવા પર, તમામ પેકેટ્સને અનટ્રેક કરેલ તરીકે ચિહ્નિત કરવામાં આવશે. તમે જે ઇચ્છો છો તે લગભગ હંમેશા હોતું નથી, તેથી અનટ્રેક કરેલી નીતિઓ દ્વારા મંજૂર કરાયેલા પેકેટો વિશે ખૂબ જ પસંદગીયુક્ત બનવું મહત્વપૂર્ણ છે (અને મોટાભાગના ટ્રાફિકને સામાન્ય ટ્રૅક કરેલી નીતિઓમાંથી પસાર થવા દો).
પેકેટ પ્રોસેસિંગ પાઇપલાઇનની ખૂબ જ શરૂઆતમાં અનટ્રેક કરેલી નીતિઓ લાગુ કરવામાં આવે છે. કેલિકો પોલિસી બનાવતી વખતે આ સમજવું ખૂબ જ મહત્વપૂર્ણ છે. તમારી પાસે ઓર્ડર:1 સાથે પોડ પોલિસી અને ઓર્ડર:1000 સાથે અનટ્રેક પોલિસી હોઈ શકે છે. કોઈ વાંધો નહીં આવે. અનટ્રેક કરેલ પોલિસી પોડ માટેની પોલિસી પહેલા લાગુ કરવામાં આવશે. અનટ્રેક ન કરેલી નીતિઓ ફક્ત એકબીજાની વચ્ચે જ અમલના હુકમનો આદર કરે છે.

કારણ કે doNotTrack પોલિસીનો એક હેતુ Linux પેકેટ પ્રોસેસિંગ પાઇપલાઇનમાં પોલિસીને ખૂબ જ વહેલી તકે લાગુ કરવાનો છે, કેલિકો doNotTrack નો ઉપયોગ કરતી વખતે applyOnForward વિકલ્પનો ઉલ્લેખ કરવાનું ફરજિયાત બનાવે છે. પેકેટ પ્રોસેસિંગ ડાયાગ્રામનો સંદર્ભ આપતા, નોંધ લો કે કોઈપણ રૂટીંગ નિર્ણયો પહેલા અનટ્રેક કરેલ(5) નીતિ લાગુ કરવામાં આવે છે. ટ્રાફિકને હોસ્ટ પ્રક્રિયા તરફ નિર્દેશિત કરી શકાય છે, અથવા તેને પોડ અથવા અન્ય નોડ પર મોકલી શકાય છે.

પરિણામો

અમે કેલિકોમાં વિવિધ પોલિસી વિકલ્પો (હોસ્ટ એન્ડપોઇન્ટ, એપ્લાયઓનફોરવર્ડ, પ્રીડીએનએટી અને અનટ્રેક કરેલ) અને પેકેટ પ્રોસેસિંગ પાથ પર તે કેવી રીતે લાગુ કરવામાં આવે છે તે જોયા. તેઓ કેવી રીતે કાર્ય કરે છે તે સમજવું અસરકારક અને સલામત નીતિઓ વિકસાવવામાં મદદ કરે છે. કેલિકો સાથે તમે વૈશ્વિક નેટવર્ક નીતિનો ઉપયોગ કરી શકો છો જે લેબલ (નોડ્સ અને પોડ્સના જૂથ) પર લાગુ થાય છે અને વિવિધ પરિમાણો સાથે નીતિઓ લાગુ કરી શકે છે. આ સુરક્ષા અને નેટવર્ક ડિઝાઇન પ્રોફેશનલ્સને કેલિકો પોલિસી સાથે એક જ પોલિસી લેંગ્વેજનો ઉપયોગ કરીને "બધું" (અંતિમ બિંદુ પ્રકારો) ને એક જ સમયે સુરક્ષિત કરવાની મંજૂરી આપે છે.

સ્વીકૃતિ: હું આભાર માનું છું સીન ક્રેમ્પટન и એલેક્સા પોલીટા તેમની સમીક્ષા અને મૂલ્યવાન માહિતી માટે.

સોર્સ: www.habr.com

કેલિકો સાથે નેટવર્ક નીતિ વિકલ્પોને સમજવું