ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿ ಜಾರಿ ಆಯ್ಕೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿ ಜಾರಿ ಆಯ್ಕೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿ ಜಾರಿ ಆಯ್ಕೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಕ್ಯಾಲಿಕೋ ನೆಟ್‌ವರ್ಕ್ ಪ್ಲಗಿನ್ ಹಾರ್ಡ್‌ವೇರ್ ಹೋಸ್ಟ್‌ಗಳು, ವರ್ಚುವಲ್ ಯಂತ್ರಗಳು ಮತ್ತು ಪಾಡ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು ಏಕೀಕೃತ ಸಿಂಟ್ಯಾಕ್ಸ್‌ನೊಂದಿಗೆ ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಈ ನೀತಿಗಳನ್ನು ನೇಮ್‌ಸ್ಪೇಸ್‌ನಲ್ಲಿ ಅನ್ವಯಿಸಬಹುದು ಅಥವಾ ಅನ್ವಯಿಸುವ ಜಾಗತಿಕ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಗಳಾಗಿರಬಹುದು ಹೋಸ್ಟ್ ಎಂಡ್ ಪಾಯಿಂಟ್ (ಹೋಸ್ಟ್‌ನಲ್ಲಿ ನೇರವಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು - ಹೋಸ್ಟ್ ಸರ್ವರ್ ಅಥವಾ ವರ್ಚುವಲ್ ಯಂತ್ರವಾಗಿರಬಹುದು) ಅಥವಾ ಕೆಲಸದ ಹೊರೆ ಅಂತಿಮ ಬಿಂದು (ಧಾರಕಗಳಲ್ಲಿ ಅಥವಾ ಹೋಸ್ಟ್ ಮಾಡಿದ ವರ್ಚುವಲ್ ಯಂತ್ರಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು). ಕ್ಯಾಲಿಕೊ ನೀತಿಗಳು ಪ್ರಿಡಿಎನ್‌ಎಟಿ, ಅನ್‌ರಾಕ್ಡ್ ಮತ್ತು ಅಪ್ಲೈಆನ್‌ಫಾರ್ವರ್ಡ್‌ನಂತಹ ಆಯ್ಕೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೆಟ್‌ನ ಹಾದಿಯಲ್ಲಿ ವಿವಿಧ ಹಂತಗಳಲ್ಲಿ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಅನ್ವಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಈ ಆಯ್ಕೆಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ನಿಮ್ಮ ಒಟ್ಟಾರೆ ಸಿಸ್ಟಮ್‌ನ ಸುರಕ್ಷತೆ ಮತ್ತು ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಸುಧಾರಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಈ ಲೇಖನವು ಈ ಕ್ಯಾಲಿಕೋ ನೀತಿ ಆಯ್ಕೆಗಳ ಸಾರವನ್ನು ವಿವರಿಸುತ್ತದೆ (ಪ್ರಿಡಿಎನ್‌ಎಟಿ, ಅನ್‌ರಾಕ್ಡ್ ಮತ್ತು ಅಪ್ಲೈಆನ್‌ಫಾರ್ವರ್ಡ್) ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ, ಪ್ಯಾಕೆಟ್ ಪ್ರೊಸೆಸಿಂಗ್ ಪಥಗಳಲ್ಲಿ (ಐಪ್‌ಟೇಬಲ್ಸ್ ಚೈನ್ಸ್) ಏನಾಗುತ್ತದೆ ಎಂಬುದರ ಮೇಲೆ ಒತ್ತು ನೀಡುತ್ತದೆ.

ಕುಬರ್ನೆಟ್ಸ್ ಮತ್ತು ಕ್ಯಾಲಿಕೋ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದರ ಕುರಿತು ನೀವು ಮೂಲಭೂತ ತಿಳುವಳಿಕೆಯನ್ನು ಹೊಂದಿರುವಿರಿ ಎಂದು ಈ ಲೇಖನವು ಊಹಿಸುತ್ತದೆ. ಇಲ್ಲದಿದ್ದರೆ, ಅದನ್ನು ಪ್ರಯತ್ನಿಸಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ ಮೂಲ ನೆಟ್ವರ್ಕ್ ನೀತಿ ಟ್ಯುಟೋರಿಯಲ್ и ಹೋಸ್ಟ್ ಪ್ರೊಟೆಕ್ಷನ್ ಟ್ಯುಟೋರಿಯಲ್ ಈ ಲೇಖನವನ್ನು ಓದುವ ಮೊದಲು ಕ್ಯಾಲಿಕೋ ಬಳಸಿ. ನೀವು ಕೆಲಸದ ಬಗ್ಗೆ ಮೂಲಭೂತ ತಿಳುವಳಿಕೆಯನ್ನು ಹೊಂದಿರಬೇಕೆಂದು ನಾವು ನಿರೀಕ್ಷಿಸುತ್ತೇವೆ iptables ಲಿನಕ್ಸ್‌ನಲ್ಲಿ.

ಕ್ಯಾಲಿಕೊ ಜಾಗತಿಕ ನೆಟ್ವರ್ಕ್ ನೀತಿ ಲೇಬಲ್‌ಗಳ ಮೂಲಕ (ಹೋಸ್ಟ್‌ಗಳು ಮತ್ತು ಕೆಲಸದ ಹೊರೆಗಳು/ಪಾಡ್‌ಗಳ ಗುಂಪುಗಳಿಗೆ) ಪ್ರವೇಶ ನಿಯಮಗಳ ಗುಂಪನ್ನು ಅನ್ವಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ನೀವು ವೈವಿಧ್ಯಮಯ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಒಟ್ಟಿಗೆ ಬಳಸಿದರೆ ಇದು ತುಂಬಾ ಉಪಯುಕ್ತವಾಗಿದೆ - ವರ್ಚುವಲ್ ಯಂತ್ರಗಳು, ನೇರವಾಗಿ ಹಾರ್ಡ್‌ವೇರ್‌ನಲ್ಲಿರುವ ಸಿಸ್ಟಮ್, ಅಥವಾ ಕುಬರ್ನೆಟ್ಸ್ ಮೂಲಸೌಕರ್ಯ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ನೀವು ಘೋಷಣಾ ನೀತಿಗಳ ಗುಂಪನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಕ್ಲಸ್ಟರ್ (ನೋಡ್‌ಗಳು) ಅನ್ನು ರಕ್ಷಿಸಬಹುದು ಮತ್ತು ಒಳಬರುವ ಟ್ರಾಫಿಕ್‌ಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, NodePorts ಅಥವಾ ಬಾಹ್ಯ IPs ಸೇವೆಯ ಮೂಲಕ).

ಮೂಲಭೂತ ಮಟ್ಟದಲ್ಲಿ, ಕ್ಯಾಲಿಕೋ ಪಾಡ್ ಅನ್ನು ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಸಂಪರ್ಕಿಸಿದಾಗ (ಕೆಳಗಿನ ರೇಖಾಚಿತ್ರವನ್ನು ನೋಡಿ), ಅದು ವರ್ಚುವಲ್ ಎತರ್ನೆಟ್ ಇಂಟರ್ಫೇಸ್ (ವೆಥ್) ಅನ್ನು ಬಳಸಿಕೊಂಡು ಹೋಸ್ಟ್‌ಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ. ಪಾಡ್ ಕಳುಹಿಸುವ ದಟ್ಟಣೆಯು ಈ ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್‌ನಿಂದ ಹೋಸ್ಟ್‌ಗೆ ಬರುತ್ತದೆ ಮತ್ತು ಅದು ಭೌತಿಕ ನೆಟ್‌ವರ್ಕ್ ಇಂಟರ್‌ಫೇಸ್‌ನಿಂದ ಬಂದ ರೀತಿಯಲ್ಲಿಯೇ ಪ್ರಕ್ರಿಯೆಗೊಳ್ಳುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಕ್ಯಾಲಿಕೋ ಈ ಇಂಟರ್‌ಫೇಸ್‌ಗಳನ್ನು ಕ್ಯಾಲಿಎಕ್ಸ್‌ಎಕ್ಸ್‌ಎಕ್ಸ್ ಎಂದು ಹೆಸರಿಸುತ್ತದೆ. ದಟ್ಟಣೆಯು ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಬರುವುದರಿಂದ, ಪಾಡ್ ಒಂದು ಹಾಪ್ ದೂರದಲ್ಲಿರುವಂತೆ ಅದು iptables ಮೂಲಕ ಹೋಗುತ್ತದೆ. ಆದ್ದರಿಂದ, ಟ್ರಾಫಿಕ್ ಪಾಡ್‌ಗೆ/ನಿಂದ ಬಂದಾಗ, ಅದನ್ನು ಹೋಸ್ಟ್‌ನ ದೃಷ್ಟಿಕೋನದಿಂದ ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾಗುತ್ತದೆ.

ಕ್ಯಾಲಿಕೋ ಚಾಲನೆಯಲ್ಲಿರುವ ಕುಬರ್ನೆಟ್ಸ್ ನೋಡ್‌ನಲ್ಲಿ, ನೀವು ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್ (ವೆಥ್) ಅನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಕೆಲಸದ ಹೊರೆಗೆ ಮ್ಯಾಪ್ ಮಾಡಬಹುದು. ಕೆಳಗಿನ ಉದಾಹರಣೆಯಲ್ಲಿ, ಕ್ಯಾಲಿಕೊ ಮಾನಿಟರಿಂಗ್ ನೇಮ್‌ಸ್ಪೇಸ್‌ನಲ್ಲಿ veth#10 (calic1cbf1ca0f8) cnx-manager-* ಗೆ ಸಂಪರ್ಕಗೊಂಡಿದೆ ಎಂದು ನೀವು ನೋಡಬಹುದು.

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿ ಜಾರಿ ಆಯ್ಕೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಕ್ಯಾಲಿಕೋ ಪ್ರತಿ ಕೆಲಸದ ಹೊರೆಗೆ ವೆತ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಅದು ಹೇಗೆ ನೀತಿಗಳನ್ನು ಜಾರಿಗೊಳಿಸುತ್ತದೆ? ಇದನ್ನು ಮಾಡಲು, ಕ್ಯಾಲಿಕೊ iptables ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೆಟ್ ಸಂಸ್ಕರಣಾ ಮಾರ್ಗದ ವಿವಿಧ ಸರಪಳಿಗಳಲ್ಲಿ ಕೊಕ್ಕೆಗಳನ್ನು ರಚಿಸುತ್ತದೆ.

ಕೆಳಗಿನ ರೇಖಾಚಿತ್ರವು iptables (ಅಥವಾ netfilter ಉಪವ್ಯವಸ್ಥೆ) ನಲ್ಲಿ ಪ್ಯಾಕೆಟ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಸರಪಳಿಗಳನ್ನು ತೋರಿಸುತ್ತದೆ. ಪ್ಯಾಕೆಟ್ ನೆಟ್‌ವರ್ಕ್ ಇಂಟರ್‌ಫೇಸ್ ಮೂಲಕ ಬಂದಾಗ, ಅದು ಮೊದಲು ಪ್ರಿರೌಟಿಂಗ್ ಸರಪಳಿಯ ಮೂಲಕ ಹೋಗುತ್ತದೆ. ನಂತರ ರೂಟಿಂಗ್ ನಿರ್ಧಾರವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗುತ್ತದೆ, ಮತ್ತು ಇದರ ಆಧಾರದ ಮೇಲೆ, ಪ್ಯಾಕೆಟ್ INPUT (ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ನಿರ್ದೇಶಿಸಲಾಗಿದೆ) ಅಥವಾ ಫಾರ್ವರ್ಡ್ (ಪಾಡ್ ಅಥವಾ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರುವ ಇನ್ನೊಂದು ನೋಡ್‌ಗೆ ನಿರ್ದೇಶಿಸಲಾಗಿದೆ) ಮೂಲಕ ಹಾದುಹೋಗುತ್ತದೆ. ಸ್ಥಳೀಯ ಪ್ರಕ್ರಿಯೆಯಿಂದ, ಕೇಬಲ್ ಕೆಳಗೆ ಕಳುಹಿಸುವ ಮೊದಲು ಪ್ಯಾಕೆಟ್ ಔಟ್ಪುಟ್ ಮತ್ತು ನಂತರ POSTROUTING ಸರಪಳಿಯ ಮೂಲಕ ಹೋಗುತ್ತದೆ.

iptables ಪ್ರಕ್ರಿಯೆಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ಪಾಡ್ ಒಂದು ಬಾಹ್ಯ ಘಟಕವಾಗಿದೆ (veth ಗೆ ಸಂಪರ್ಕಗೊಂಡಿದೆ) ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಸಾರಾಂಶ ಮಾಡೋಣ:

  • ಫಾರ್ವರ್ಡ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ (ನ್ಯಾಟ್, ರೂಟ್ ಅಥವಾ ಪಾಡ್‌ನಿಂದ) ಪ್ರಿರೌಟಿಂಗ್ - ಫಾರ್ವರ್ಡ್ - ಪೋಸ್ಟ್ರೋಟಿಂಗ್ ಸರಪಳಿಗಳ ಮೂಲಕ ಹಾದುಹೋಗುತ್ತದೆ.
  • ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗೆ ದಟ್ಟಣೆಯು ಮುನ್ನೆಚ್ಚರಿಕೆ - ಇನ್‌ಪುಟ್ ಸರಪಳಿಯ ಮೂಲಕ ಹಾದುಹೋಗುತ್ತದೆ.
  • ಸ್ಥಳೀಯ ಆತಿಥೇಯ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಟ್ರಾಫಿಕ್ ಔಟ್ಪುಟ್ - POSTROUTING ಸರಪಳಿಯ ಮೂಲಕ ಹೋಗುತ್ತದೆ.

ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೆಟ್‌ವರ್ಕ್ ನೀತಿ ಜಾರಿ ಆಯ್ಕೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

ಎಲ್ಲಾ ಸರಪಳಿಗಳಾದ್ಯಂತ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ನೀತಿ ಆಯ್ಕೆಗಳನ್ನು ಕ್ಯಾಲಿಕೋ ಒದಗಿಸುತ್ತದೆ. ಅದನ್ನು ಮನಸ್ಸಿನಲ್ಲಿಟ್ಟುಕೊಂಡು, ಕ್ಯಾಲಿಕೋದಲ್ಲಿ ಲಭ್ಯವಿರುವ ವಿವಿಧ ನೀತಿ ಸಂರಚನಾ ಆಯ್ಕೆಗಳನ್ನು ನೋಡೋಣ. ಕೆಳಗಿನ ಆಯ್ಕೆಗಳ ಪಟ್ಟಿಯಲ್ಲಿರುವ ಸಂಖ್ಯೆಗಳು ಮೇಲಿನ ರೇಖಾಚಿತ್ರದಲ್ಲಿನ ಸಂಖ್ಯೆಗಳಿಗೆ ಅನುಗುಣವಾಗಿರುತ್ತವೆ.

  1. ವರ್ಕ್‌ಲೋಡ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ (ಪಾಡ್) ನೀತಿ
  2. ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ನೀತಿ
  3. ApplyOnForward ಆಯ್ಕೆ
  4. PreDNAT ನೀತಿ
  5. ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿ

ವರ್ಕ್‌ಲೋಡ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳಿಗೆ (ಕುಬರ್ನೆಟ್ಸ್ ಪಾಡ್‌ಗಳು ಅಥವಾ ಓಪನ್‌ಸ್ಟ್ಯಾಕ್ ವಿಎಂಗಳು) ನೀತಿಗಳನ್ನು ಹೇಗೆ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನೋಡುವ ಮೂಲಕ ಪ್ರಾರಂಭಿಸೋಣ ಮತ್ತು ನಂತರ ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳಿಗಾಗಿ ನೀತಿ ಆಯ್ಕೆಗಳನ್ನು ನೋಡೋಣ.

ವರ್ಕ್‌ಲೋಡ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳು

ವರ್ಕ್‌ಲೋಡ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ನೀತಿ (1)

ನಿಮ್ಮ ಕುಬರ್ನೆಟ್ಸ್ ಪಾಡ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು ಇದು ಒಂದು ಆಯ್ಕೆಯಾಗಿದೆ. ಕ್ಯಾಲಿಕೋ ಕುಬರ್ನೆಟ್ಸ್ ನೆಟ್‌ವರ್ಕ್ ಪಾಲಿಸಿಯೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಆದರೆ ಇದು ಹೆಚ್ಚುವರಿ ನೀತಿಗಳನ್ನು ಸಹ ಒದಗಿಸುತ್ತದೆ - ಕ್ಯಾಲಿಕೋ ನೆಟ್‌ವರ್ಕ್ ಪಾಲಿಸಿ ಮತ್ತು ಗ್ಲೋಬಲ್ ನೆಟ್‌ವರ್ಕ್ ಪಾಲಿಸಿ. ಕ್ಯಾಲಿಕೊ ಪ್ರತಿ ಪಾಡ್‌ಗೆ (ಕೆಲಸದ ಹೊರೆ) ಸರಪಳಿಯನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಫಾರ್ವರ್ಡ್ ಸರಪಳಿಯ ಫಿಲ್ಟರ್ ಟೇಬಲ್‌ಗೆ ಕೆಲಸದ ಹೊರೆಗಾಗಿ ಇನ್‌ಪುಟ್ ಮತ್ತು ಔಟ್‌ಪುಟ್ ಸರಪಳಿಗಳಲ್ಲಿ ಹುಕ್ ಮಾಡುತ್ತದೆ.

ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳು

ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ನೀತಿ (2)

CNI (ಕಂಟೇನರ್ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್) ಜೊತೆಗೆ, ಕ್ಯಾಲಿಕೋ ನೀತಿಗಳು ಹೋಸ್ಟ್ ಅನ್ನು ರಕ್ಷಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಒದಗಿಸುತ್ತದೆ. ಕ್ಯಾಲಿಕೊದಲ್ಲಿ, ಹೋಸ್ಟ್ ಇಂಟರ್ಫೇಸ್ ಮತ್ತು ಅಗತ್ಯವಿದ್ದರೆ, ಪೋರ್ಟ್ ಸಂಖ್ಯೆಗಳ ಸಂಯೋಜನೆಯನ್ನು ಸೂಚಿಸುವ ಮೂಲಕ ನೀವು ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ಅನ್ನು ರಚಿಸಬಹುದು. INPUT ಮತ್ತು OUTPUT ಸರಪಳಿಗಳಲ್ಲಿನ ಫಿಲ್ಟರ್ ಟೇಬಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಘಟಕದ ನೀತಿ ಜಾರಿಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ. ರೇಖಾಚಿತ್ರದಿಂದ ನೀವು ನೋಡುವಂತೆ, (2) ನೋಡ್/ಹೋಸ್ಟ್‌ನಲ್ಲಿ ಸ್ಥಳೀಯ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಅವು ಅನ್ವಯಿಸುತ್ತವೆ. ಅಂದರೆ, ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗೆ ಅನ್ವಯಿಸುವ ನೀತಿಯನ್ನು ನೀವು ರಚಿಸಿದರೆ, ಅದು ನಿಮ್ಮ ಪಾಡ್‌ಗಳಿಗೆ ಹೋಗುವ/ಬರುವ ಟ್ರಾಫಿಕ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ಆದರೆ ಕ್ಯಾಲಿಕೋ ನೀತಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಹೋಸ್ಟ್ ಮತ್ತು ಪಾಡ್‌ಗಳಿಗೆ ದಟ್ಟಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಇದು ಒಂದೇ ಇಂಟರ್ಫೇಸ್/ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಇದು ವೈವಿಧ್ಯಮಯ ನೆಟ್‌ವರ್ಕ್‌ಗಾಗಿ ನೀತಿಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೆಚ್ಚು ಸರಳಗೊಳಿಸುತ್ತದೆ. ಕ್ಲಸ್ಟರ್ ಭದ್ರತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ನೀತಿಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವುದು ಮತ್ತೊಂದು ಪ್ರಮುಖ ಬಳಕೆಯ ಸಂದರ್ಭವಾಗಿದೆ.

ಅಪ್ಲೈಆನ್ ಫಾರ್ವರ್ಡ್ ನೀತಿ (3)

ApplyOnForward ಆಯ್ಕೆಯು ಕ್ಯಾಲಿಕೊ ಜಾಗತಿಕ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಯಲ್ಲಿ ಲಭ್ಯವಿದೆ, ಹೋಸ್ಟ್‌ನಿಂದ ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾಗುವ ಟ್ರಾಫಿಕ್ ಸೇರಿದಂತೆ ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ಮೂಲಕ ಹಾದುಹೋಗುವ ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್‌ಗೆ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಇದು ಸ್ಥಳೀಯ ಪಾಡ್‌ಗೆ ಅಥವಾ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಬೇರೆಡೆಗೆ ರವಾನಿಸಲಾದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. PreDNAT ಅನ್ನು ಬಳಸುವ ನೀತಿಗಳಿಗಾಗಿ ಈ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು Calico ಗೆ ಅಗತ್ಯವಿದೆ ಮತ್ತು ಅನ್‌ಟ್ರಾಕ್ ಮಾಡಲಾಗಿದೆ, ಕೆಳಗಿನ ವಿಭಾಗಗಳನ್ನು ನೋಡಿ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ವರ್ಚುವಲ್ ರೂಟರ್ ಅಥವಾ ಸಾಫ್ಟ್‌ವೇರ್ NAT ಅನ್ನು ಬಳಸುವ ಸಂದರ್ಭಗಳಲ್ಲಿ ಹೋಸ್ಟ್ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ApplyOnForward ಅನ್ನು ಬಳಸಬಹುದು.

ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ಪಾಡ್‌ಗಳೆರಡಕ್ಕೂ ನೀವು ಒಂದೇ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಯನ್ನು ಅನ್ವಯಿಸಬೇಕಾದರೆ, ನೀವು ApplyOnForward ಆಯ್ಕೆಯನ್ನು ಬಳಸುವ ಅಗತ್ಯವಿಲ್ಲ ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಅಗತ್ಯವಿರುವ ಹಾಸ್ಟೆಂಡ್‌ಪಾಯಿಂಟ್ ಮತ್ತು ವರ್ಕ್‌ಲೋಡ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ (ಪಾಡ್) ಗಾಗಿ ಲೇಬಲ್ ಅನ್ನು ನೀವು ಮಾಡಬೇಕಾಗಿರುವುದು. ಅಂತಿಮ ಬಿಂದುವಿನ ಪ್ರಕಾರವನ್ನು (ಹೋಸ್ಟೆಂಡ್‌ಪಾಯಿಂಟ್ ಅಥವಾ ಕೆಲಸದ ಹೊರೆ) ಲೆಕ್ಕಿಸದೆ ಲೇಬಲ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ನೀತಿಯನ್ನು ಜಾರಿಗೊಳಿಸಲು ಕ್ಯಾಲಿಕೋ ಸಾಕಷ್ಟು ಸ್ಮಾರ್ಟ್ ಆಗಿದೆ.

PreDNAT ನೀತಿ (4)

ಕುಬರ್ನೆಟ್ಸ್‌ನಲ್ಲಿ, ಸೇವಾ ಘಟಕದ ಪೋರ್ಟ್‌ಗಳನ್ನು ನೋಡ್‌ಪೋರ್ಟ್ಸ್ ಆಯ್ಕೆಯನ್ನು ಬಳಸಿ ಅಥವಾ ಐಚ್ಛಿಕವಾಗಿ (ಕ್ಯಾಲಿಕೋ ಬಳಸುವಾಗ) ಕ್ಲಸ್ಟರ್ ಐಪಿಗಳು ಅಥವಾ ಬಾಹ್ಯ ಐಪಿಗಳ ಆಯ್ಕೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಜಾಹೀರಾತು ಮಾಡುವ ಮೂಲಕ ಬಾಹ್ಯವಾಗಿ ಬಹಿರಂಗಪಡಿಸಬಹುದು. ಕ್ಯೂಬ್-ಪ್ರಾಕ್ಸಿ ಡಿಎನ್‌ಎಟಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಅನುಗುಣವಾದ ಸೇವೆಯ ಪಾಡ್‌ಗಳಿಗೆ ಸೇವೆಗೆ ಒಳಬರುವ ದಟ್ಟಣೆಯನ್ನು ಸಮತೋಲನಗೊಳಿಸುತ್ತದೆ. ಇದನ್ನು ಗಮನಿಸಿದರೆ, NodePorts ಮೂಲಕ ಬರುವ ಟ್ರಾಫಿಕ್‌ಗಾಗಿ ನೀವು ನೀತಿಗಳನ್ನು ಹೇಗೆ ಜಾರಿಗೊಳಿಸುತ್ತೀರಿ? ಟ್ರಾಫಿಕ್ ಅನ್ನು DNAT ಮೂಲಕ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಮೊದಲು ಈ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಲಾಗಿದೆಯೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು (ಇದು ಹೋಸ್ಟ್:ಪೋರ್ಟ್ ಮತ್ತು ಅನುಗುಣವಾದ ಸೇವೆಯ ನಡುವಿನ ಮ್ಯಾಪಿಂಗ್), ಕ್ಯಾಲಿಕೋ "preDNAT: true" ಎಂಬ ಗ್ಲೋಬಲ್‌ನೆಟ್‌ವರ್ಕ್ ಪಾಲಿಸಿಗಾಗಿ ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಪೂರ್ವ-DNAT ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ, ಈ ನೀತಿಗಳನ್ನು (4) ರೇಖಾಚಿತ್ರದಲ್ಲಿ - PREROUTING ಸರಪಳಿಯ ಮ್ಯಾಂಗಲ್ ಕೋಷ್ಟಕದಲ್ಲಿ - ತಕ್ಷಣವೇ DNAT ಗಿಂತ ಮೊದಲು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ನಿಯಮಗಳ ಸಾಮಾನ್ಯ ಕ್ರಮವನ್ನು ಇಲ್ಲಿ ಅನುಸರಿಸಲಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಈ ನೀತಿಗಳ ಅನ್ವಯವು ಸಂಚಾರ ಸಂಸ್ಕರಣಾ ಪಥದಲ್ಲಿ ಹೆಚ್ಚು ಮುಂಚಿತವಾಗಿ ಸಂಭವಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, preDNAT ನೀತಿಗಳು ತಮ್ಮಲ್ಲಿನ ಅನ್ವಯದ ಕ್ರಮವನ್ನು ಗೌರವಿಸುತ್ತವೆ.

ಪೂರ್ವ-DNAT ನೊಂದಿಗೆ ನೀತಿಗಳನ್ನು ರಚಿಸುವಾಗ, ನೀವು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಬಯಸುವ ದಟ್ಟಣೆಯ ಬಗ್ಗೆ ಜಾಗರೂಕರಾಗಿರಬೇಕು ಮತ್ತು ಬಹುಪಾಲು ತಿರಸ್ಕರಿಸಲು ಅನುಮತಿಸುವುದು ಮುಖ್ಯ. ಪೂರ್ವ-ಡಿಎನ್‌ಎಟಿ ನೀತಿಯಲ್ಲಿ 'ಅನುಮತಿಸಿ' ಎಂದು ಗುರುತಿಸಲಾದ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಇನ್ನು ಮುಂದೆ ಹಾಸ್ಟೆಂಡ್‌ಪಾಯಿಂಟ್ ನೀತಿಯಿಂದ ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ, ಆದರೆ ಡಿಎನ್‌ಎಟಿ-ಪೂರ್ವ ನೀತಿಯನ್ನು ವಿಫಲಗೊಳಿಸಿದ ಟ್ರಾಫಿಕ್ ಉಳಿದ ಸರಪಳಿಗಳ ಮೂಲಕ ಮುಂದುವರಿಯುತ್ತದೆ.
preDNAT ಬಳಸುವಾಗ ಅಪ್ಲೈಆನ್‌ಫಾರ್ವರ್ಡ್ ಆಯ್ಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದನ್ನು ಕ್ಯಾಲಿಕೋ ಕಡ್ಡಾಯಗೊಳಿಸಿದೆ, ಏಕೆಂದರೆ ವ್ಯಾಖ್ಯಾನದ ಪ್ರಕಾರ ಸಂಚಾರದ ಗಮ್ಯಸ್ಥಾನವನ್ನು ಇನ್ನೂ ಆಯ್ಕೆ ಮಾಡಲಾಗಿಲ್ಲ. ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗೆ ನಿರ್ದೇಶಿಸಬಹುದು ಅಥವಾ ಅದನ್ನು ಪಾಡ್ ಅಥವಾ ಇನ್ನೊಂದು ನೋಡ್‌ಗೆ ಫಾರ್ವರ್ಡ್ ಮಾಡಬಹುದು.

ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿ (5)

ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ನಡವಳಿಕೆಯಲ್ಲಿ ದೊಡ್ಡ ವ್ಯತ್ಯಾಸಗಳನ್ನು ಹೊಂದಿರಬಹುದು. ಕೆಲವು ವಿಪರೀತ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅನೇಕ ಅಲ್ಪಾವಧಿಯ ಸಂಪರ್ಕಗಳನ್ನು ರಚಿಸಬಹುದು. ಇದು ಕಾಂಟ್ರ್ಯಾಕ್ (ಲಿನಕ್ಸ್ ನೆಟ್‌ವರ್ಕಿಂಗ್ ಸ್ಟಾಕ್‌ನ ಪ್ರಮುಖ ಅಂಶ) ಮೆಮೊರಿ ಖಾಲಿಯಾಗಲು ಕಾರಣವಾಗಬಹುದು. ಸಾಂಪ್ರದಾಯಿಕವಾಗಿ, ಲಿನಕ್ಸ್‌ನಲ್ಲಿ ಈ ರೀತಿಯ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಚಲಾಯಿಸಲು, ನೀವು ಕಾಂಟ್‌ಟ್ರಾಕ್ ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು ಅಥವಾ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು ಅಥವಾ ಕಾಂಟ್‌ಟ್ರಾಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು iptables ನಿಯಮಗಳನ್ನು ಬರೆಯಬೇಕು. ನೀವು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಸಂಪರ್ಕಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಬಯಸಿದರೆ ಕ್ಯಾಲಿಕೋದಲ್ಲಿ ಅನ್‌ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಯು ಸರಳ ಮತ್ತು ಹೆಚ್ಚು ಪರಿಣಾಮಕಾರಿ ಆಯ್ಕೆಯಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ನೀವು ಬೃಹತ್ ಬಳಸಿದರೆ ಮೆಮ್ ಕ್ಯಾಶ್ ಅಥವಾ ವಿರುದ್ಧ ರಕ್ಷಣೆಯ ಹೆಚ್ಚುವರಿ ಅಳತೆಯಾಗಿ ಡಿಡಿಒಎಸ್.

ಇದನ್ನು ಓದು ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ (ಅಥವಾ ನಮ್ಮ ಅನುವಾದ) ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯಕ್ಷಮತೆ ಪರೀಕ್ಷೆಗಳು ಸೇರಿದಂತೆ ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗಾಗಿ.

ನೀವು ಕ್ಯಾಲಿಕೋ ಗ್ಲೋಬಲ್‌ನೆಟ್‌ವರ್ಕ್ ಪಾಲಿಸಿಯಲ್ಲಿ "doNotTrack: true" ಆಯ್ಕೆಯನ್ನು ಹೊಂದಿಸಿದಾಗ, ಇದು ** ಅನ್‌ಟ್ರಾಕ್ ಮಾಡದ** ನೀತಿಯಾಗುತ್ತದೆ ಮತ್ತು Linux ಪ್ಯಾಕೆಟ್ ಪ್ರಕ್ರಿಯೆಯ ಪೈಪ್‌ಲೈನ್‌ನಲ್ಲಿ ಬಹಳ ಮುಂಚೆಯೇ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಮೇಲಿನ ರೇಖಾಚಿತ್ರವನ್ನು ನೋಡಿದಾಗ, ಸಂಪರ್ಕ ಟ್ರ್ಯಾಕಿಂಗ್ (ಕಾಂಟ್‌ರಾಕ್) ಪ್ರಾರಂಭವಾಗುವ ಮೊದಲು ಕಚ್ಚಾ ಟೇಬಲ್‌ನಲ್ಲಿ ಪೂರ್ವನಿರ್ಧರಿತ ಮತ್ತು ಔಟ್‌ಪುಟ್ ಸರಪಳಿಗಳಲ್ಲಿ ಅನ್‌ಟ್ರಾಕ್ ಮಾಡಲಾದ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಯಿಂದ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಅನುಮತಿಸಿದಾಗ, ಆ ಪ್ಯಾಕೆಟ್‌ಗಾಗಿ ಸಂಪರ್ಕ ಟ್ರ್ಯಾಕಿಂಗ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಅದನ್ನು ಗುರುತಿಸಲಾಗುತ್ತದೆ. ಎಂದರೆ:

  • ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಯನ್ನು ಪ್ರತಿ ಪ್ಯಾಕೆಟ್ ಆಧಾರದ ಮೇಲೆ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಸಂಪರ್ಕದ (ಅಥವಾ ಹರಿವಿನ) ಪರಿಕಲ್ಪನೆ ಇಲ್ಲ. ಸಂಪರ್ಕಗಳ ಕೊರತೆಯು ಹಲವಾರು ಪ್ರಮುಖ ಪರಿಣಾಮಗಳನ್ನು ಹೊಂದಿದೆ:
  • ನೀವು ವಿನಂತಿ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆ ಟ್ರಾಫಿಕ್ ಎರಡನ್ನೂ ಅನುಮತಿಸಲು ಬಯಸಿದರೆ, ಒಳಬರುವ ಮತ್ತು ಹೊರಹೋಗುವ ಎರಡಕ್ಕೂ ನಿಮಗೆ ನಿಯಮದ ಅಗತ್ಯವಿದೆ (ಕ್ಯಾಲಿಕೊ ಸಾಮಾನ್ಯವಾಗಿ ಪ್ರತಿಕ್ರಿಯೆ ದಟ್ಟಣೆಯನ್ನು ಅನುಮತಿಸಿದಂತೆ ಗುರುತಿಸಲು ಕಾಂಟ್ರಾಕ್ ಅನ್ನು ಬಳಸುತ್ತದೆ).
  • ಅನ್‌ಟ್ರಾಕ್ ಮಾಡದ ನೀತಿಯು ಕುಬರ್ನೆಟ್ಸ್ ವರ್ಕ್‌ಲೋಡ್‌ಗಳಿಗೆ (ಪಾಡ್‌ಗಳು) ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ ಪಾಡ್‌ನಿಂದ ಹೊರಹೋಗುವ ಸಂಪರ್ಕವನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಯಾವುದೇ ಮಾರ್ಗವಿಲ್ಲ.
  • ಟ್ರ್ಯಾಕ್ ಮಾಡದ ಪ್ಯಾಕೆಟ್‌ಗಳೊಂದಿಗೆ NAT ಸರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ (ಕರ್ನಲ್ NAT ಮ್ಯಾಪಿಂಗ್ ಅನ್ನು ಕಾಂಟ್ರಾಕ್‌ನಲ್ಲಿ ಸಂಗ್ರಹಿಸುವುದರಿಂದ).
  • ಅನ್‌ಟ್ರ್ಯಾಕ್ ಮಾಡಲಾದ ನೀತಿಯಲ್ಲಿ "ಎಲ್ಲವನ್ನೂ ಅನುಮತಿಸಿ" ನಿಯಮವನ್ನು ಹಾದುಹೋಗುವಾಗ, ಎಲ್ಲಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಅನ್‌ಟ್ರಾಕ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ಗುರುತಿಸಲಾಗುತ್ತದೆ. ಇದು ಬಹುತೇಕ ಯಾವಾಗಲೂ ನೀವು ಬಯಸುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಗಳಿಂದ ಅನುಮತಿಸಲಾದ ಪ್ಯಾಕೆಟ್‌ಗಳ ಬಗ್ಗೆ ಬಹಳ ಆಯ್ದವಾಗಿರುವುದು ಮುಖ್ಯವಾಗಿದೆ (ಮತ್ತು ಹೆಚ್ಚಿನ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸಾಮಾನ್ಯ ಟ್ರ್ಯಾಕ್ ಮಾಡಲಾದ ನೀತಿಗಳ ಮೂಲಕ ಹೋಗಲು ಅನುಮತಿಸಿ).
  • ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಗಳನ್ನು ಪ್ಯಾಕೆಟ್ ಸಂಸ್ಕರಣಾ ಪೈಪ್‌ಲೈನ್‌ನ ಪ್ರಾರಂಭದಲ್ಲಿ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಕ್ಯಾಲಿಕೋ ನೀತಿಗಳನ್ನು ರಚಿಸುವಾಗ ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಬಹಳ ಮುಖ್ಯ. ನೀವು ಆರ್ಡರ್: 1 ನೊಂದಿಗೆ ಪಾಡ್ ಪಾಲಿಸಿಯನ್ನು ಹೊಂದಬಹುದು ಮತ್ತು ಆರ್ಡರ್: 1000 ನೊಂದಿಗೆ ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಯನ್ನು ಹೊಂದಬಹುದು. ಪರವಾಗಿಲ್ಲ. ಪಾಡ್‌ಗಾಗಿ ಪಾಲಿಸಿಯ ಮೊದಲು ಅನ್ಟ್ರ್ಯಾಕ್ ಮಾಡಲಾದ ನೀತಿಯನ್ನು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಅನ್‌ಟ್ರ್ಯಾಕ್ ಮಾಡದ ನೀತಿಗಳು ತಮ್ಮ ನಡುವೆ ಮಾತ್ರ ಮರಣದಂಡನೆ ಆದೇಶವನ್ನು ಗೌರವಿಸುತ್ತವೆ.

ಲಿನಕ್ಸ್ ಪ್ಯಾಕೆಟ್ ಪ್ರೊಸೆಸಿಂಗ್ ಪೈಪ್‌ಲೈನ್‌ನಲ್ಲಿ ಬಹಳ ಮುಂಚೆಯೇ ನೀತಿಯನ್ನು ಜಾರಿಗೊಳಿಸುವುದು doNotTrack ನೀತಿಯ ಉದ್ದೇಶಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ, doNotTrack ಬಳಸುವಾಗ ಅಪ್ಲೈಆನ್‌ಫಾರ್ವರ್ಡ್ ಆಯ್ಕೆಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದನ್ನು ಕ್ಯಾಲಿಕೋ ಕಡ್ಡಾಯಗೊಳಿಸುತ್ತದೆ. ಪ್ಯಾಕೆಟ್ ಸಂಸ್ಕರಣಾ ರೇಖಾಚಿತ್ರವನ್ನು ಉಲ್ಲೇಖಿಸಿ, ಯಾವುದೇ ರೂಟಿಂಗ್ ನಿರ್ಧಾರಗಳ ಮೊದಲು ಅನ್ಟ್ರಾಕ್ಡ್(5) ನೀತಿಯನ್ನು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಟ್ರಾಫಿಕ್ ಅನ್ನು ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಗೆ ನಿರ್ದೇಶಿಸಬಹುದು ಅಥವಾ ಅದನ್ನು ಪಾಡ್ ಅಥವಾ ಇನ್ನೊಂದು ನೋಡ್‌ಗೆ ಫಾರ್ವರ್ಡ್ ಮಾಡಬಹುದು.

ಫಲಿತಾಂಶಗಳು

ಕ್ಯಾಲಿಕೋದಲ್ಲಿನ ವಿವಿಧ ನೀತಿ ಆಯ್ಕೆಗಳನ್ನು (ಹೋಸ್ಟ್ ಎಂಡ್‌ಪಾಯಿಂಟ್, ಅಪ್ಲೈಆನ್‌ಫಾರ್ವರ್ಡ್, ಪ್ರಿಡಿಎನ್‌ಎಟಿ ಮತ್ತು ಅನ್‌ಟ್ರಾಕ್ಡ್) ಮತ್ತು ಪ್ಯಾಕೆಟ್ ಸಂಸ್ಕರಣಾ ಮಾರ್ಗದಲ್ಲಿ ಹೇಗೆ ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನಾವು ನೋಡಿದ್ದೇವೆ. ಅವರು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಾರೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಪರಿಣಾಮಕಾರಿ ಮತ್ತು ಸುರಕ್ಷಿತ ನೀತಿಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಕ್ಯಾಲಿಕೊದೊಂದಿಗೆ ನೀವು ಲೇಬಲ್‌ಗೆ (ನೋಡ್‌ಗಳು ಮತ್ತು ಪಾಡ್‌ಗಳ ಗುಂಪು) ಅನ್ವಯಿಸುವ ಜಾಗತಿಕ ನೆಟ್‌ವರ್ಕ್ ನೀತಿಯನ್ನು ಬಳಸಬಹುದು ಮತ್ತು ವಿವಿಧ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ನೀತಿಗಳನ್ನು ಅನ್ವಯಿಸಬಹುದು. ಇದು ಭದ್ರತೆ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ವಿನ್ಯಾಸ ವೃತ್ತಿಪರರಿಗೆ ಕ್ಯಾಲಿಕೋ ನೀತಿಗಳೊಂದಿಗೆ ಒಂದೇ ನೀತಿ ಭಾಷೆಯನ್ನು ಬಳಸಿಕೊಂಡು "ಎಲ್ಲವನ್ನೂ" (ಎಂಡ್‌ಪಾಯಿಂಟ್ ಪ್ರಕಾರಗಳು) ಅನುಕೂಲಕರವಾಗಿ ರಕ್ಷಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಸ್ವೀಕೃತಿ: ನಾನು ಧನ್ಯವಾದ ಹೇಳಲು ಬಯಸುತ್ತೇನೆ ಸೀನ್ ಕ್ರಾಂಪ್ಟನ್ и ಅಲೆಕ್ಸಾ ಪೊಲ್ಲಿಟ್ಟಾ ಅವರ ವಿಮರ್ಶೆ ಮತ್ತು ಮೌಲ್ಯಯುತ ಮಾಹಿತಿಗಾಗಿ.

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ