🥇Calico tīkla izveidei Kubernetes: ievads un neliela pieredze

Raksta mērķis ir iepazīstināt lasītāju ar tīkla veidošanas un tīkla politiku pārvaldības pamatiem Kubernetes, kā arī ar trešās puses Calico spraudni, kas paplašina standarta iespējas. Pa ceļam konfigurācijas vienkāršība un dažas funkcijas tiks demonstrētas, izmantojot reālus piemērus no mūsu darbības pieredzes.

Īss ievads par Kubernetes tīkla ierīci

Kubernetes klasteris nav iedomājams bez tīkla. Mēs jau esam publicējuši materiālus par viņu pamatiem: “Ilustrēts ceļvedis Kubernetes tīkla izveidei"Un"Ievads par Kubernetes tīkla politikām drošības profesionāļiem'.

Šī raksta kontekstā ir svarīgi atzīmēt, ka pats K8s nav atbildīgs par tīkla savienojamību starp konteineriem un mezgliem: šim nolūkam CNI spraudņi (Container Networking Interface). Vairāk par šo koncepciju mēs viņi man arī teica.

Piemēram, visizplatītākais no šiem spraudņiem ir Flaneļa — nodrošina pilnu tīkla savienojumu starp visiem klastera mezgliem, paceļot tiltus katrā mezglā, piešķirot tam apakštīklu. Tomēr pilnīga un neregulēta pieejamība ne vienmēr ir izdevīga. Lai nodrošinātu zināmu minimālu izolāciju klasterī, ir jāiejaucas ugunsmūra konfigurācijā. Vispārīgā gadījumā tas tiek pakļauts viena un tā paša CNI kontrolei, tāpēc jebkura trešās puses iejaukšanās iptables var tikt interpretēta nepareizi vai vispār ignorēta.

Un tiek nodrošināta “no kastes” tīkla politikas pārvaldības organizēšanai Kubernetes klasterī NetworkPolicy API. Šis resurss, kas ir sadalīts atlasītajās nosaukumvietās, var saturēt noteikumus, lai atšķirtu vienas lietojumprogrammas piekļuvi citai. Tas arī ļauj konfigurēt pieejamību starp noteiktiem podiem, vidēm (nosaukumvietām) vai IP adrešu blokiem:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

Šis nav primitīvākais piemērs oficiālā dokumentācija var vienreiz un uz visiem atturēt vēlmi izprast tīkla politikas darbības loģiku. Tomēr mēs joprojām mēģināsim izprast trafika plūsmu apstrādes pamatprincipus un metodes, izmantojot tīkla politikas...

Loģiski, ka ir 2 trafika veidi: ienākošā (Ingress) un izejošā no tā (Egress).

Faktiski politika ir sadalīta šajās 2 kategorijās, pamatojoties uz kustības virzienu.

Nākamais nepieciešamais atribūts ir selektors; tas, uz kuru attiecas noteikums. Tas var būt aplikums (vai aplikumu grupa) vai vide (t.i., nosaukumvieta). Svarīga detaļa: abiem šo objektu veidiem ir jābūt etiķetei (etiķete Kubernetes terminoloģijā) - ar tiem politiķi operē.

Papildus ierobežotam skaitam atlasītāju, ko apvieno kāda veida etiķete, dažādās variācijās ir iespējams rakstīt noteikumus, piemēram, “Atļaut/liegt visu/visiem”. Šim nolūkam tiek izmantotas formas konstrukcijas:

  podSelector: {}
  ingress: []
  policyTypes:
  - Ingress

— šajā piemērā visi apgabali vidē ir bloķēti ienākošajai satiksmei. Pretēju uzvedību var panākt ar šādu konstrukciju:

  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

Līdzīgi izejošajiem:

  podSelector: {}
  policyTypes:
  - Egress

- lai to izslēgtu. Lūk, kas jāiekļauj:

  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

Atgriežoties pie CNI spraudņa izvēles klasterim, ir vērts to atzīmēt ne katrs tīkla spraudnis atbalsta NetworkPolicy. Piemēram, jau pieminētais Flanel neprot konfigurēt tīkla politikas, kuras tas teikts tieši oficiālajā repozitorijā. Tur ir minēta arī alternatīva - Open Source projekts Calico, kas ievērojami paplašina Kubernetes API standarta komplektu tīkla politiku ziņā.

Iepazīšanās ar Calico: teorija

Calico spraudni var izmantot integrācijā ar Flannel (apakšprojekts Kanāls) vai neatkarīgi, aptverot gan tīkla savienojamības, gan pieejamības pārvaldības iespējas.

Kādas iespējas sniedz K8s “kastes” risinājuma un API komplekta izmantošana no Calico?

Lūk, kas ir iebūvēts NetworkPolicy:

politiķus ierobežo vide;
politikas tiek piemērotas pākstīm, kas marķētas ar etiķetēm;
noteikumus var piemērot podiem, vidēm vai apakštīkliem;
noteikumi var saturēt protokolus, nosauktas vai simboliskas portu specifikācijas.

Lūk, kā Calico paplašina šīs funkcijas:

politikas var tikt piemērotas jebkuram objektam: podam, konteineram, virtuālajai mašīnai vai interfeisam;
noteikumi var ietvert konkrētu darbību (aizliegumu, atļauju, reģistrēšanu);
noteikumu mērķis vai avots var būt ports, portu diapazons, protokoli, HTTP vai ICMP atribūti, IP vai apakštīkls (4. vai 6. paaudze), jebkuri atlasītāji (mezgli, saimnieki, vides);
Turklāt jūs varat regulēt trafika pāreju, izmantojot DNAT iestatījumus un trafika pāradresācijas politikas.

Pirmās saistības GitHub Calico repozitorijā datētas ar 2016. gada jūliju, un gadu vēlāk projekts ieņēma vadošās pozīcijas Kubernetes tīkla savienojamības organizēšanā – par to liecina, piemēram, aptaujas rezultāti, diriģēja The New Stack:

Daudzi lieli pārvaldīti risinājumi ar K8, piemēram Amazon EX, Azure AKS, Google GKE un citi sāka ieteikt to lietošanai.

Runājot par veiktspēju, šeit viss ir lieliski. Pārbaudot savu produktu, Calico izstrādes komanda demonstrēja astronomisku veiktspēju, darbinot vairāk nekā 50000 500 konteineru 20 fiziskos mezglos ar izveides ātrumu XNUMX konteineri sekundē. Ar mērogošanu netika konstatētas nekādas problēmas. Tādi rezultāti tika paziņoti jau pie pirmās versijas izziņošanas. Neatkarīgi pētījumi, kas koncentrējas uz caurlaidspēju un resursu patēriņu, arī apstiprina, ka Calico veiktspēja ir gandrīz tikpat laba kā Flannel. Piemēram:

Projekts attīstās ļoti ātri, tas atbalsta darbu populāros risinājumos, kas tiek pārvaldīti K8s, OpenShift, OpenStack, ir iespējams izmantot Calico, izvietojot klasteru, izmantojot sitiens, ir atsauces uz Service Mesh tīklu izveidi (šeit ir piemērs lieto kopā ar Istio).

Trenējies ar Calico

Parasti vaniļas Kubernetes izmantošanas gadījumā CNI instalēšana ir saistīta ar faila izmantošanu calico.yaml, lejupielādēts no oficiālās vietnes, izmantojot kubectl apply -f.

Kā likums, pašreizējā spraudņa versija ir saderīga ar jaunākajām 2-3 Kubernetes versijām: darbība vecākās versijās netiek pārbaudīta un netiek garantēta. Saskaņā ar izstrādātāju teikto, Calico darbojas uz Linux kodoliem virs 3.10, kuros darbojas CentOS 7, Ubuntu 16 vai Debian 8, papildus iptables vai IPVS.

Izolācija vidē

Vispārīgai izpratnei apskatīsim vienkāršu gadījumu, lai saprastu, kā tīkla politikas Calico apzīmējumā atšķiras no standarta un kā kārtulu izveides pieeja vienkāršo to lasāmību un konfigurācijas elastību:

Klasterī ir izvietotas 2 tīmekļa lietojumprogrammas: Node.js un PHP, no kurām viena izmanto Redis. Lai bloķētu piekļuvi Redis no PHP, vienlaikus saglabājot savienojumu ar Node.js, vienkārši piemērojiet šo politiku:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-redis-nodejs
spec:
  podSelector:
    matchLabels:
      service: redis
  ingress:
  - from:
    - podSelector:
        matchLabels:
          service: nodejs
    ports:
    - protocol: TCP
      port: 6379

Būtībā mēs atļāvām ienākošo trafiku uz Redis portu no Node.js. Un viņi skaidri neko citu neaizliedza. Tiklīdz parādās NetworkPolicy, visi tajā minētie atlasītāji tiek izolēti, ja vien nav norādīts citādi. Tomēr izolācijas noteikumi neattiecas uz citiem objektiem, kas nav ietverti atlasītājā.

Piemērā izmanto apiVersion Kubernetes ir izņemts no kastes, taču nekas neliedz to izmantot tāda paša nosaukuma resurss no Calico piegādes. Sintakse ir detalizētāka, tāpēc jums būs jāpārraksta noteikums iepriekšminētajam gadījumam šādā formā:

apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
  name: allow-redis-nodejs
spec:
  selector: service == 'redis'
  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: service == 'nodejs'
    destination:
      ports:
      - 6379

Iepriekš minētās konstrukcijas visas trafika atļaušanai vai aizliegšanai, izmantojot parasto NetworkPolicy API, satur konstrukcijas ar iekavām, kuras ir grūti saprast un atcerēties. Calico gadījumā, lai mainītu ugunsmūra noteikuma loģiku uz pretējo, vienkārši mainiet action: Allow par action: Deny.

Izolācija no vides

Tagad iedomājieties situāciju, kad lietojumprogramma ģenerē biznesa rādītājus apkopošanai programmā Prometheus un turpmākai analīzei, izmantojot Grafana. Augšupielāde var saturēt sensitīvus datus, kas pēc noklusējuma atkal ir publiski skatāmi. Paslēpsim šos datus no ziņkārīgo acīm:

Prometheus, kā likums, tiek ievietots atsevišķā pakalpojumu vidē - piemērā tā būs šāda nosaukumvieta:

apiVersion: v1
kind: Namespace
metadata:
  labels:
    module: prometheus
  name: kube-prometheus

Lauks metadata.labels izrādījās, ka tā nav nejaušība. Kā iepriekš minēts, namespaceSelector (kā arī podSelector) darbojas ar etiķetēm. Tāpēc, lai ļautu iegūt metriku no visiem konkrēta porta apgabaliem, jums būs jāpievieno sava veida etiķete (vai jāņem no esošajām) un pēc tam jāpiemēro konfigurācija, piemēram:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-metrics-prom
spec:
  podSelector: {}
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          module: prometheus
    ports:
    - protocol: TCP
      port: 9100

Un, ja izmantojat Calico politikas, sintakse būs šāda:

apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
  name: allow-metrics-prom
spec:
  ingress:
  - action: Allow
    protocol: TCP
    source:
      namespaceSelector: module == 'prometheus'
    destination:
      ports:
      - 9100

Parasti, pievienojot šāda veida politikas īpašām vajadzībām, varat aizsargāt pret ļaunprātīgu vai nejaušu iejaukšanos klastera lietojumprogrammu darbībā.

Pēc Calico veidotāju domām, labākā prakse ir pieeja “Bloķējiet visu un skaidri atveriet to, kas jums nepieciešams”, kas dokumentēta oficiālā dokumentācija (citi izmanto līdzīgu pieeju - jo īpaši, in jau pieminētais raksts).

Papildu Calico objektu izmantošana

Atgādināšu, ka, izmantojot paplašināto Calico API komplektu, varat regulēt mezglu pieejamību, ne tikai podi. Nākamajā piemērā, izmantojot GlobalNetworkPolicy iespēja nodot ICMP pieprasījumus klasterī ir aizvērta (piemēram, ping no apoka uz mezglu, starp podiem vai no mezgla uz IP pod):

apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: block-icmp
spec:
  order: 200
  selector: all()
  types:
  - Ingress
  - Egress
  ingress:
  - action: Deny
    protocol: ICMP
  egress:
  - action: Deny
    protocol: ICMP

Iepriekš minētajā gadījumā klasteru mezgli joprojām var “sasniegt” viens otru, izmantojot ICMP. Un šis jautājums tiek atrisināts ar līdzekļiem GlobalNetworkPolicy, attiecas uz entītiju HostEndpoint:

apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: deny-icmp-kube-02
spec:
  selector: "role == 'k8s-node'"
  order: 0
  ingress:
  - action: Allow
    protocol: ICMP
  egress:
  - action: Allow
    protocol: ICMP
---
apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
  name: kube-02-eth0
  labels:
    role: k8s-node
spec:
  interfaceName: eth0
  node: kube-02
  expectedIPs: ["192.168.2.2"]

VPN lieta

Visbeidzot, es sniegšu ļoti reālu piemēru Calico funkciju izmantošanai gandrīz klastera mijiedarbības gadījumā, kad nepietiek ar standarta politiku kopu. Lai piekļūtu tīmekļa lietojumprogrammai, klienti izmanto VPN tuneli, un šī piekļuve tiek stingri kontrolēta un ierobežota ar noteiktu pakalpojumu sarakstu, kas atļauts izmantot:

Klienti savienojas ar VPN, izmantojot standarta UDP portu 1194, un, kad ir izveidots savienojums, tie saņem maršrutus uz podziņu un pakalpojumu klasteru apakštīkliem. Visi apakštīkli tiek virzīti, lai restartēšanas un adrešu maiņas laikā nezaudētu pakalpojumus.

Konfigurācijas ports ir standarta, kas uzliek dažas nianses lietojumprogrammas konfigurēšanas un pārsūtīšanas uz Kubernetes klasteru procesā. Piemēram, tajā pašā AWS LoadBalancer for UDP parādījās burtiski pagājušā gada beigās ierobežotā reģionu sarakstā, un NodePort nevar izmantot, jo tas tiek pārsūtīts visos klastera mezglos un nav iespējams mērogot servera gadījumu skaitu kļūdu tolerances nolūkos. Turklāt jums būs jāmaina noklusējuma portu diapazons...

Iespējamo risinājumu meklēšanas rezultātā tika izvēlēts sekojošais:

Pods ar VPN ir ieplānots katram mezglam hostNetwork, tas ir, uz faktisko IP.
Pakalpojums tiek izlikts ārpus caur ClusterIP. Mezglā ir fiziski uzstādīts ports, kuram var piekļūt no ārpuses ar nelielām atrunām (reālas IP adreses nosacīta klātbūtne).
Mūsu stāsta ietvaros nav iespējams noteikt mezglu, uz kura pāksts roze. Es tikai teikšu, ka jūs varat cieši “piespraust” pakalpojumu mezglam vai uzrakstīt nelielu blakusvāģa pakalpojumu, kas uzraudzīs pašreizējo VPN pakalpojuma IP adresi un rediģēs klientiem reģistrētos DNS ierakstus - kuram ir pietiekami daudz iztēles.

No maršrutēšanas viedokļa mēs varam unikāli identificēt VPN klientu pēc tā IP adreses, ko izsniedzis VPN serveris. Tālāk ir sniegts primitīvs piemērs šāda klienta piekļuves pakalpojumiem ierobežošanai, kas parādīts iepriekš minētajā Redis:

apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
  name: vpnclient-eth0
  labels:
    role: vpnclient
    environment: production
spec:
  interfaceName: "*"
  node: kube-02
  expectedIPs: ["172.176.176.2"]
---
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: vpn-rules
spec:
  selector: "role == 'vpnclient'"
  order: 0
  applyOnForward: true
  preDNAT: true
  ingress:
  - action: Deny
    protocol: TCP
    destination:
      ports: [6379]
  - action: Allow
    protocol: UDP
    destination:
      ports: [53, 67]

Šeit ir stingri aizliegts pieslēgties portam 6379, bet tajā pašā laikā tiek saglabāta DNS pakalpojuma darbība, kuras darbība diezgan bieži cieš, izstrādājot noteikumus. Tā kā, kā minēts iepriekš, kad tiek parādīts atlasītājs, tam tiek piemērota noklusējuma aizlieguma politika, ja vien nav norādīts citādi.

Rezultāti

Tādējādi, izmantojot Calico uzlaboto API, varat elastīgi konfigurēt un dinamiski mainīt maršrutēšanu klasterī un ap to. Kopumā tā lietošana var izskatīties pēc zvirbuļu šaušanas ar lielgabalu, un L3 tīkla ieviešana ar BGP un IP-IP tuneļiem vienkāršā Kubernetes instalācijā plakanā tīklā izskatās zvērīgi... Tomēr citādi rīks izskatās diezgan dzīvotspējīgs un noderīgs. .

Klastera izolēšana, lai tā atbilstu drošības prasībām, ne vienmēr var būt iespējama, un šeit palīgā nāk Calico (vai līdzīgs risinājums). Šajā rakstā sniegtie piemēri (ar nelielām izmaiņām) tiek izmantoti vairākās mūsu klientu instalācijās AWS.

PS

Lasi arī mūsu emuārā:

«Ievads par Kubernetes tīkla politikām drošības profesionāļiem";
"Ilustrēts ceļvedis tīkla izveidei Kubernetes": 1. un 2. daļa (tīkla modelis, pārklājuma tīkli), 3. daļa (pakalpojumi un satiksmes apstrāde);
«Container Networking Interface (CNI) - tīkla interfeiss un standarts Linux konteineriem'.

Avots: www.habr.com

Calico tīkla izveidei Kubernetes: ievads un neliela pieredze