🥇Konsuls + iptables = :3

2010. gadā uzņēmums Wargaming bija 50 serveri un vienkāršs tīkla modelis: backend, frontend un ugunsmūris. Serveru skaits pieauga, modelis kļuva sarežģītāks: inscenēšana, izolēti VLAN ar ACL, tad VPN ar VRF, VLAN ar ACL uz L2, VRF ar ACL uz L3. Galva griežas? Vēlāk būs jautrāk.

Kad bija 16 000 serveru, kļuva neiespējami strādāt bez plīsumiem ar tik daudziem neviendabīgiem segmentiem. Tāpēc mēs nonācām pie cita risinājuma. Mēs paņēmām Netfilter steku, pievienojām tam Consul kā datu avotu un ieguvām ātri izplatītu ugunsmūri. Viņi aizstāja ACL maršrutētājos un izmantoja tos kā ārējo un iekšējo ugunsmūri. Lai dinamiski pārvaldītu rīku, mēs izstrādājām BEFW sistēmu, kas tika izmantota visur: no lietotāju piekļuves pārvaldīšanas produktu tīklam līdz tīkla segmentu izolēšanai viens no otra.

Viņš jums pastāstīs, kā tas viss darbojas un kāpēc jums vajadzētu šo sistēmu aplūkot tuvāk. Ivans Agarkovs (annmuor) - uzņēmuma Minskas attīstības centra Tehniskās apkopes daļas infrastruktūras drošības grupas vadītājs. Ivans ir SELinux fans, viņam patīk Perl un viņš raksta kodu. Būdams informācijas drošības grupas vadītājs, viņš regulāri strādā ar žurnāliem, rezerves kopijām un R&D, lai aizsargātu Wargaming no hakeriem un nodrošinātu visu uzņēmuma spēļu serveru darbību.

Vēsturiskā informācija

Pirms pastāstīšu, kā mēs to izdarījām, es jums pastāstīšu, kā mēs vispār nonācām pie tā un kāpēc tas bija vajadzīgs. Lai to izdarītu, atgriezīsimies 9 gadus atpakaļ: 2010. gads, tikko parādījās World of Tanks. Wargaming bija aptuveni 50 serveri.

Uzņēmuma servera izaugsmes diagramma.

Mums bija tīkla modelis. Uz to laiku tas bija optimāls.

Tīkla modelis 2010. gadā.

Priekšgalā ir sliktie puiši, kuri vēlas mūs salauzt, bet tai ir ugunsmūris. Aizmugursistēmai nav ugunsmūra, bet tur ir 50 serveri, mēs tos visus zinām. Viss darbojas labi.

4 gadu laikā serveru parks pieauga 100 reižu līdz 5000. Parādījās pirmie izolētie tīkli - inscenējums: tie nevarēja nonākt ražošanā, un tur bieži darbojās lietas, kas varētu būt bīstamas.

Tīkla modelis 2014. gadā.

Pēc inerces mēs izmantojām vienas un tās pašas aparatūras daļas, un viss darbs tika veikts izolētos VLAN: ACL tiek ierakstīti VLAN, kas atļauj vai liedz kādu savienojumu.

2016. gadā serveru skaits sasniedza 8000. Wargaming absorbēja citas studijas, un parādījās papildu saistītie tīkli. Šķiet, ka tie ir mūsējie, bet ne gluži: VLAN bieži nedarbojas partneriem, jums ir jāizmanto VPN ar VRF, izolācija kļūst sarežģītāka. ACL izolācijas maisījums pieauga.

Tīkla modelis 2016. gadā.

Līdz 2018. gada sākumam mašīnu parks bija pieaudzis līdz 16 000. Bija 6 segmenti, pārējos neskaitījām, ieskaitot slēgtos, kuros glabājās finanšu dati. Ir parādījušies konteineru tīkli (Kubernetes), DevOps, mākoņtīkli, kas savienoti, izmantojot VPN, piemēram, no IVS. Noteikumu bija daudz – tas bija sāpīgi.

Tīkla modelis un izolācijas metodes 2018. gadā.

Izolācijai mēs izmantojām: VLAN ar ACL uz L2, VRF ar ACL uz L3, VPN un daudz ko citu. Pārāk daudz.

Problēmas

Ikviens dzīvo ar ACL un VLAN. Kas noticis? Uz šo jautājumu atbildēs Harolds, slēpjot sāpes.

Bija daudz problēmu, bet bija piecas lielas.

Ģeometriskais cenu pieaugums jauniem noteikumiem. Katra jauna noteikuma pievienošana prasīja ilgāku laiku nekā iepriekšējā, jo vispirms bija jāpaskatās, vai šāds noteikums jau pastāv.
Segmentos nav ugunsmūra. Segmenti bija kaut kā atdalīti viens no otra, un iekšā jau nebija pietiekami daudz resursu.
Noteikumi tika piemēroti ilgu laiku. Operatori stundas laikā ar roku varētu uzrakstīt vienu vietējo noteikumu. Globālais aizņēma vairākas dienas.
Grūtības ar audita noteikumiem. Precīzāk, tas nebija iespējams. Pirmie noteikumi tika uzrakstīti tālajā 2010. gadā, un lielākā daļa to autoru uzņēmumā vairs nestrādāja.
Zems infrastruktūras kontroles līmenis. Tā ir galvenā problēma – mēs nezinājām ļoti labi, kas notiek mūsu valstī.

Šādi izskatījās tīkla inženieris 2018. gadā, kad viņš dzirdēja: “Nepieciešams vairāk ACL”.

Risinājumi

2018. gada sākumā tika nolemts kaut ko darīt lietas labā.

Integrāciju cena nepārtraukti aug. Sākuma punkts bija tāds, ka lielie datu centri pārtrauca atbalstīt izolētus VLAN un ACL, jo ierīcēm trūka atmiņas.

Risinājums: noņēmām cilvēcisko faktoru un maksimāli automatizējām piekļuves nodrošināšanu.

Jauno noteikumu piemērošana prasa ilgu laiku. Risinājums: paātrināt noteikumu piemērošanu, padarīt to izplatītu un paralēlu. Tam nepieciešama izplatīta sistēma, lai noteikumi tiktu piegādāti paši bez rsync vai SFTP tūkstoš sistēmām.

Nav ugunsmūra segmentos. Ugunsmūris segmentos sāka parādīties, kad vienā tīklā parādījās dažādi pakalpojumi. Risinājums: izmantojiet ugunsmūri resursdatora līmenī - uz resursdatora balstīti ugunsmūri. Gandrīz visur, kur mums ir Linux, un visur, kur mums ir iptables, tā nav problēma.

Grūtības ar audita noteikumiem. Risinājums. Saglabājiet visus noteikumus vienuviet pārskatīšanai un pārvaldībai, lai mēs varētu visu pārbaudīt.

Zems infrastruktūras kontroles līmenis. Risinājums: uzskaitiet visus pakalpojumus un piekļuves starp tiem.

Tas ir vairāk administratīvs, nevis tehnisks process. Dažreiz mums ir 200-300 jaunumi nedēļā, īpaši akciju un svētku laikā. Turklāt tas ir paredzēts tikai vienai mūsu DevOps komandai. Ar tik daudziem izlaidumiem nav iespējams redzēt, kādi porti, IP un integrācijas ir nepieciešamas. Tāpēc mums bija nepieciešami īpaši apmācīti servisa vadītāji, kuri komandām jautāja: "Kas tur vispār ir un kāpēc jūs to aktualizējāt?"

Pēc visa, ko uzsākām, tīkla inženieris 2019. gadā sāka izskatīties šādi.

Konsuls

Nolēmām, ka visu, ko atradām ar servisa vadītāju palīdzību, ievietosim Consul un no turienes rakstīsim iptables noteikumus.

Kā mēs nolēmām to darīt?

Mēs apkoposim visus pakalpojumus, tīklus un lietotājus.
Pamatojoties uz tiem, izveidosim iptables noteikumus.
Mēs automatizējam kontroli.
....
PEĻŅA.

Consul nav attāls API, tas var darboties katrā mezglā un rakstīt uz iptables. Atliek vien izdomāt automātiskās vadības ierīces, kas iztīrīs nevajadzīgās lietas, un lielākā daļa problēmu būs atrisinātas! Pārējo mēs risināsim.

Kāpēc konsuls?

Ir sevi labi pierādījis. 2014.–15. gadā mēs to izmantojām kā Vault aizmugursistēmu, kurā glabājam paroles.

Nezaudē datus. Lietošanas laikā Consul datus nezaudēja neviena negadījuma laikā. Tas ir milzīgs pluss ugunsmūra pārvaldības sistēmai.

P2P savienojumi paātrina izmaiņu izplatību. Izmantojot P2P, visas izmaiņas notiek ātri, nav jāgaida stundām ilgi.

Ērta REST API. Mēs apsvērām arī Apache ZooKeeper, taču tam nav REST API, tāpēc jums būs jāinstalē kruķi.

Darbojas gan kā Key Vault (KV), gan kā direktorijs (pakalpojumu atklāšana). Varat vienlaikus uzglabāt pakalpojumus, katalogus un datu centrus. Tas ir ērti ne tikai mums, bet arī kaimiņu komandām, jo, veidojot globālu servisu, mēs domājam plaši.

Rakstīts Go, kas ir daļa no Wargaming kaudzītes. Mums patīk šī valoda, mums ir daudz Go izstrādātāju.

Jaudīga ACL sistēma. Programmā Consul varat izmantot ACL, lai kontrolētu, kurš ko raksta. Mēs garantējam, ka ugunsmūra noteikumi nepārklāsies ne ar ko citu, un mums ar to nebūs problēmu.

Bet konsulam ir arī savi trūkumi.

Tas netiek mērogots datu centrā, ja vien jums nav biznesa versijas. To var mērogot tikai federācija.
Ļoti atkarīgs no tīkla kvalitātes un servera slodzes. Consul nedarbosies pareizi kā serveris uz aizņemta servera, ja tīklā būs aizkavēšanās, piemēram, nevienmērīgs ātrums. Tas ir saistīts ar P2P savienojumiem un atjauninājumu izplatīšanas modeļiem.
Grūtības uzraudzīt pieejamību. Konsula statusā viņš var teikt, ka viss ir kārtībā, taču viņš jau sen nomira.

Lielāko daļu problēmu mēs atrisinājām, izmantojot Consul, tāpēc arī izvēlējāmies to. Uzņēmumam ir plāni par alternatīvu aizmuguri, taču mēs esam iemācījušies tikt galā ar problēmām un šobrīd dzīvojam kopā ar Consul.

Kā darbojas konsuls

Nosacītā datu centrā uzstādīsim trīs līdz piecus serverus. Viens vai divi serveri nedarbosies: tie nespēs organizēt kvorumu un izlemt, kuram ir taisnība un kuram nav taisnība, ja dati nesakrīt. Vairāk par pieciem nav jēgas, produktivitāte kritīsies.

Klienti savienojas ar serveriem jebkurā secībā: tie paši aģenti, tikai ar karogu server = false.

Pēc tam klienti saņem P2P savienojumu sarakstu un izveido savienojumus savā starpā.

Globālā līmenī mēs savienojam vairākus datu centrus. Viņi arī savieno P2P un sazinās.

Ja mēs vēlamies izgūt datus no cita datu centra, pieprasījums tiek nosūtīts no servera uz serveri. Šo shēmu sauc Serf protokols. Serf protokolu, tāpat kā Consul, izstrādā HashiCorp.

Daži svarīgi fakti par konsulu

Konsulam ir dokumentācija, kurā aprakstīts, kā tas darbojas. Es sniegšu tikai atlasītus faktus, kurus ir vērts zināt.

Konsulu serveri izvēlas meistaru no balsotāju vidus. Katram datu centram konsuls no serveru saraksta izvēlas galveno, un visi pieprasījumi tiek nosūtīti tikai uz to neatkarīgi no serveru skaita. Meistara iesaldēšana nenoved pie pārvēlēšanas. Ja kapteinis nav izvēlēts, pieprasījumus neviens neapkalpo.

Vai vēlējāties horizontālu mērogošanu? Atvainojiet, nē.

Pieprasījums citam datu centram tiek nosūtīts no galvenā uz galveno neatkarīgi no tā, uz kuru serveri tas tika nosūtīts. Izvēlētais meistars saņem 100% slodzes, izņemot pārsūtīšanas pieprasījumu slodzi. Visiem datu centra serveriem ir atjaunināta datu kopija, taču atbild tikai viens.

Vienīgais mērogošanas veids ir klientam iespējot novecojušo režīmu.

Novecojušā režīmā varat atbildēt bez kvoruma. Šis ir režīms, kurā mēs atsakāmies no datu konsekvences, bet lasām nedaudz ātrāk nekā parasti, un jebkurš serveris reaģē. Protams, ierakstīšana tikai caur meistaru.

Consul nekopē datus starp datu centriem. Kad federācija ir izveidota, katram serverim būs tikai savi dati. Citiem viņš vienmēr vēršas pie kāda cita.

Operāciju kodolīgums netiek garantēts ārpus darījuma. Atcerieties, ka jūs neesat vienīgais, kurš var mainīt lietas. Ja vēlaties savādāk, veiciet darījumu ar slēdzeni.

Bloķēšanas darbības negarantē bloķēšanu. Pieprasījums pāriet no saimnieka uz galveno, nevis tieši, tāpēc nav garantijas, ka bloķēšana darbosies, bloķējot, piemēram, citā datu centrā.

ACL arī negarantē piekļuvi (daudzos gadījumos). ACL var nedarboties, jo tas tiek glabāts vienā federācijas datu centrā - ACL datu centrā (primārā DC). Ja DC jums neatbild, ACL nedarbosies.

Viens nosalušais meistars liks sasalst visai federācijai. Piemēram, federācijā ir 10 datu centri, un vienam ir slikts tīkls, un vienam galvenajam neizdodas. Visi, kas ar viņu sazināsies, sastings aplī: ir pieprasījums, uz to nav atbildes, pavediens sastingst. Nevar zināt, kad tas notiks, tikai pēc stundas vai divām visa federācija kritīs. Jūs neko nevarat darīt.

Statuss, kvorums un vēlēšanas tiek izskatītas atsevišķā pavedienā. Pārvēlēšana nenotiks, statuss neko nerādīs. Jūs domājat, ka jums ir dzīvs konsuls, jūs jautājat, un nekas nenotiek - atbildes nav. Tajā pašā laikā statuss liecina, ka viss ir kārtībā.

Mēs esam saskārušies ar šo problēmu, un, lai no tās izvairītos, bija jāpārbūvē noteiktas datu centru daļas.

Consul Enterprise biznesa versijai nav daži no iepriekš minētajiem trūkumiem. Tam ir daudzas noderīgas funkcijas: balsotāju atlase, izplatīšana, mērogošana. Ir tikai viens “bet” - izplatītās sistēmas licencēšanas sistēma ir ļoti dārga.

Datorurķēšana: rm -rf /var/lib/consul - līdzeklis pret visām aģenta slimībām. Ja kaut kas jums nedarbojas, vienkārši izdzēsiet savus datus un lejupielādējiet datus no kopijas. Visticamāk, konsuls strādās.

BEFW

Tagad parunāsim par to, ko esam pievienojuši konsulam.

BEFW ir akronīms vārdam BackEndFireWvisi. Veidojot repozitoriju, man bija kaut kā jānosauc produkts, lai tajā veiktu pirmās pārbaudes saistības. Šis nosaukums paliek.

Noteikumu veidnes

Noteikumi ir rakstīti iptables sintaksē.

-N BEFW
-P IEVADES KRĀJUMS
-IEVADE -m stāvoklis — stāvoklis SAISTĪTS, IZVEIDOTS -j ACCEPT
-A IEVADE -i lo -j ACCEPT
-A IEVADE -j BEFW

Viss nonāk BEFW ķēdē, izņemot ESTABLISHED, RELATED un vietējais saimnieks. Veidne var būt jebkura, šis ir tikai piemērs.

Kā BEFW ir noderīgs?

Pakalpojumi

Mums ir pakalpojums, tam vienmēr ir ports, mezgls, uz kura tas darbojas. No mūsu mezgla mēs varam uz vietas pajautāt aģentam un uzzināt, ka mums ir kāds pakalpojums. Var likt arī birkas.

Jebkurš pakalpojums, kas darbojas un reģistrēts vietnē Consul, pārvēršas par iptables noteikumu. Mums ir SSH - atvērts ports 22. Bash skripts ir vienkāršs: curl un iptables, nekas cits nav vajadzīgs.

Klienti

Kā atvērt pieeju ne visiem, bet selektīvi? Pievienojiet IP sarakstus KV krātuvei pēc pakalpojuma nosaukuma.

Piemēram, mēs vēlamies, lai visi desmitā tīkla lietotāji varētu piekļūt pakalpojumam SSH_TCP_22. Vai pievienot vienu mazu TTL lauku? un tagad mums ir pagaidu atļaujas, piemēram, uz dienu.

Pieejas

Mēs savienojam pakalpojumus un klientus: mums ir serviss, KV krātuve ir gatava katram. Tagad mēs dodam piekļuvi ne visiem, bet selektīvi.

Grupa

Ja katru reizi rakstīsim tūkstošiem IP piekļuvei, mēs nogursim. Izdomāsim grupējumus – atsevišķu apakškopu KV. Sauksim to par Alias (vai grupām) un saglabāsim grupas tur saskaņā ar to pašu principu.

Savienojamies: tagad mēs varam atvērt SSH nevis speciāli P2P, bet gan visai grupai vai vairākām grupām. Tādā pašā veidā ir TTL - jūs varat pievienot grupai un īslaicīgi noņemt no grupas.

Integrācija

Mūsu problēma ir cilvēciskais faktors un automatizācija. Līdz šim mēs to esam atrisinājuši šādā veidā.

Mēs strādājam ar Puppet un nododam viņiem visu, kas attiecas uz sistēmu (lietojumprogrammas kodu). Puppetdb (parastais PostgreSQL) saglabā tur strādājošo pakalpojumu sarakstu, tos var atrast pēc resursa veida. Tur var uzzināt, kurš kur piesakās. Šim nolūkam mums ir arī izvilkšanas pieprasījumu un sapludināšanas pieprasījumu sistēma.

Mēs uzrakstījām befw-sync — vienkāršu risinājumu, kas palīdz pārsūtīt datus. Pirmkārt, sinhronizācijas sīkfailiem piekļūst puppetdb. Tur ir konfigurēts HTTP API: mēs pieprasām, kādi pakalpojumi mums ir, kas jādara. Tad viņi iesniedz pieprasījumu konsulam.

Vai ir integrācija? Jā: viņi uzrakstīja noteikumus un ļāva pieņemt Pull Requests. Vai jums ir nepieciešams noteikts ports vai jāpievieno resursdators kādai grupai? Izvelciet pieprasījumu, pārskatiet — vairs nav nepieciešams “Atrodiet 200 citus ACL un mēģiniet kaut ko darīt lietas labā.”

Optimizācija

Pinging localhost ar tukšu noteikumu ķēdi aizņem 0,075 ms.

Pievienosim šai ķēdei 10 000 iptables adreses. Rezultātā ping palielināsies 5 reizes: iptables ir pilnīgi lineārs, katras adreses apstrāde aizņem kādu laiku.

Ugunsmūrim, kurā mēs migrējam tūkstošiem ACL, mums ir daudz noteikumu, un tas ievieš latentumu. Tas ir slikti spēļu protokoliem.

Bet ja liekam 10 000 adrešu ipset Ping pat samazināsies.

Lieta ir tāda, ka ipset “O” (algoritma sarežģītība) vienmēr ir vienāds ar 1, neatkarīgi no tā, cik noteikumu ir. Tiesa, ir ierobežojums – kārtulu nevar būt vairāk par 65535. Pagaidām dzīvojam ar to: vari tos apvienot, paplašināt, izveidot divus ipsetus vienā.

Glabāšana

Loģisks iterācijas procesa turpinājums ir pakalpojuma ipset informācijas glabāšana par klientiem.

Tagad mums ir tas pats SSH, un mēs nerakstām 100 IP vienlaikus, bet iestatām ipset nosaukumu, ar kuru mums jāsazinās, un šādu noteikumu DROP. To var pārvērst vienā noteikumā “Kas šeit nav, DROP”, bet tas ir skaidrāks.

Tagad mums ir noteikumi un kopas. Galvenais uzdevums ir izveidot kopu pirms likuma rakstīšanas, jo pretējā gadījumā iptables kārtulu nerakstīs.

Vispārējā shēma

Diagrammas veidā viss, ko es teicu, izskatās šādi.

Mēs apņemamies Puppet, viss tiek nosūtīts saimniekam, pakalpojumi šeit, ipset tur, un neviens, kas tur nav reģistrēts, nav atļauts.

Ļauj noliegt

Lai ātri glābtu pasauli vai ātri kādu atspējotu, visu ķēžu sākumā mēs izveidojām divus ipsets: rules_allow и rules_deny. Kā tas strādā?

Piemēram, kāds izveido slodzi mūsu tīmeklī, izmantojot robotprogrammatūras. Iepriekš jums bija jāatrod viņa IP no žurnāliem, jānogādā tīkla inženieriem, lai viņi varētu atrast trafika avotu un viņu aizliegt. Tagad izskatās savādāk.

Mēs to nosūtām konsulam, pagaidiet 2,5 sekundes, un tas ir darīts. Tā kā Consul ātri izplata, izmantojot P2P, tas darbojas visur, jebkurā pasaules daļā.

Reiz es kaut kā pilnībā pārtraucu WOT ugunsmūra kļūdas dēļ. rules_allow - šī ir mūsu apdrošināšana pret šādiem gadījumiem. Ja kaut kur esam kļūdījušies ar ugunsmūri, kaut kur kaut kas ir bloķēts, mēs vienmēr varam nosūtīt nosacījumu 0.0/0lai ātri visu savāktu. Vēlāk visu salabosim ar rokām.

Citi komplekti

Kosmosā varat pievienot jebkuru citu komplektu $IPSETS$ .

Par ko? Dažreiz kādam ir nepieciešams ipset, piemēram, lai atdarinātu kādas klastera daļas izslēgšanu. Ikviens var atnest jebkurus komplektus, nosaukt tos, un tie tiks izņemti no konsula. Tajā pašā laikā komplekti var piedalīties iptables noteikumos vai darboties kā komanda NOOP: konsekvenci uzturēs dēmons.

Biedri

Iepriekš tas bija šādi: lietotājs izveidoja savienojumu ar tīklu un saņēma parametrus caur domēnu. Pirms jaunās paaudzes ugunsmūru parādīšanās Cisco nezināja, kā saprast, kur atrodas lietotājs un kur atrodas IP. Tāpēc piekļuve tika piešķirta tikai, izmantojot mašīnas saimniekdatora nosaukumu.

Ko mēs darījām? Mēs iestrēgām brīdī, kad saņēmām adresi. Parasti tas ir dot1x, Wi-Fi vai VPN — viss notiek caur RADIUS. Katram lietotājam mēs izveidojam grupu pēc lietotājvārda un ievietojam tajā IP ar TTL, kas ir vienāds ar tā dhcp.lease - tiklīdz beidzas termiņš, noteikums pazudīs.

Tagad mēs varam atvērt piekļuvi pakalpojumiem, tāpat kā citām grupām, pēc lietotājvārda. Mēs esam atbrīvojušies no resursdatora nosaukumiem, kad tie mainās, un esam noņēmuši slogu no tīkla inženieriem, jo viņiem vairs nav nepieciešams Cisco. Tagad paši inženieri reģistrē piekļuvi savos serveros.

Izolācija

Tajā pašā laikā mēs sākām demontēt izolāciju. Pakalpojumu vadītāji veica inventarizāciju, un mēs analizējām visus mūsu tīklus. Sadalīsim tās vienās un tajās pašās grupās, un nepieciešamajos serveros grupas tika pievienotas, piemēram, lai noliegtu. Tagad tā pati inscenēšanas izolācija nonāk iestudējuma noteikumos_noliegumā, bet ne pašā iestudējumā.

Shēma darbojas ātri un vienkārši: mēs noņemam visus ACL no serveriem, izkraujam aparatūru un samazinām izolēto VLAN skaitu.

Integritātes kontrole

Iepriekš mums bija īpašs aktivizētājs, kas ziņoja, kad kāds manuāli mainīja ugunsmūra noteikumu. Es rakstīju milzīgu līniju ugunsmūra noteikumu pārbaudei, tas bija grūti. Integritāti tagad kontrolē BEFW. Viņš dedzīgi rūpējas, lai viņa pieņemtie noteikumi nemainītos. Ja kāds mainīs ugunsmūra noteikumus, tas viss mainīs atpakaļ. “Es ātri iestatīju starpniekserveri, lai varētu strādāt no mājām” — šādu iespēju vairs nav.

BEFW kontrolē ipset no pakalpojumiem un sarakstu befw.conf, pakalpojumu noteikumus BEFW ķēdē. Bet tas neuzrauga citas ķēdes un noteikumus un citus ipsets.

Avārijas aizsardzība

BEFW vienmēr saglabā pēdējo zināmo labo stāvokli tieši state.bin binārajā struktūrā. Ja kaut kas noiet greizi, tas vienmēr atgriežas šajā stāvoklī.bin.

Šī ir apdrošināšana pret nestabilu konsula darbību, kad tas nenosūtīja datus vai kāds kļūdījās un izmantoja noteikumus, kurus nevar piemērot. Lai mēs nepaliktu bez ugunsmūra, BEFW atgriezīsies jaunākajā stāvoklī, ja kādā posmā radīsies kļūda.

Kritiskās situācijās tā ir garantija, ka mums paliks strādājošs ugunsmūris. Atveram visus pelēkos tīklus, cerot, ka atnāks admins un salabos. Kādreiz es to ievietošu konfigurācijās, bet tagad mums ir tikai trīs pelēki tīkli: 10/8, 172/12 un 192.168/16. Mūsu konsulā šī ir svarīga iezīme, kas palīdz mums attīstīties tālāk.

Demonstrācija: ziņojuma laikā Ivans demonstrē BEFW demonstrācijas režīmu. Demonstrāciju ir vieglāk skatīties Video. Pieejams demonstrācijas pirmkods vietnē GitHub.

Slazdiem

Es jums pastāstīšu par kļūdām, ar kurām mēs sastapāmies.

ipset add set 0.0.0.0/0. Kas notiek, ja ipset pievienojat 0.0.0.0/0? Vai tiks pievienoti visi IP? Vai būs pieejams internets?

Nē, mēs iegūsim kļūdu, kas mums izmaksās divas stundas dīkstāves. Turklāt kļūda nedarbojas kopš 2016. gada, tā atrodas RedHat Bugzilla ar numuru #1297092, un mēs to atradām nejauši - no izstrādātāja ziņojuma.

Tagad tas ir stingri noteikts BEFW 0.0.0.0/0 pārvēršas divās adresēs: 0.0.0.0/1 и 128.0.0.0/1.

ipset atjaunošanas kopa < fails. Ko ipset dara, kad tu to pasaki restore? Vai jūs domājat, ka tas darbojas tāpat kā iptables? Vai tas atgūs datus?

Nekas tamlīdzīgs — tas tiek sapludināts, un vecās adreses nekur nepazūd, jūs nebloķējat piekļuvi.

Pārbaudot izolāciju, mēs atradām kļūdu. Tagad ir diezgan sarežģīta sistēma - tā vietā restore held create temptad restore flush temp и restore temp. Mijmaiņas beigās: par atomitāti, jo, ja jūs to darāt vispirms flush un šajā brīdī pienāk kāda paciņa, tā tiks izmesta un kaut kas noies greizi. Tātad tur ir mazliet melnās maģijas.

konsuls kv get -datacenter=other. Kā jau teicu, mēs domājam, ka mēs pieprasām dažus datus, bet mēs vai nu saņemsim datus, vai arī saņemsim kļūdu. Mēs to varam izdarīt ar konsula starpniecību lokāli, taču šajā gadījumā abi sastings.

Vietējais Consul klients ir HTTP API iesaiņotājs. Bet tas vienkārši uzkaras un nereaģē tikai uz Ctrl+C, Ctrl+Z vai jebko citu kill -9 nākamajā konsolē. Mēs ar to saskārāmies, veidojot lielu kopu. Taču mums vēl nav risinājuma; mēs gatavojamies šīs kļūdas labošanai konsulā.

Konsula vadītājs nereaģē. Mūsu meistars datu centrā nereaģē, mēs domājam: "Varbūt atkārtotas atlases algoritms tagad darbosies?"

Nē, tas nedarbosies, un uzraudzība neko nerādīs: konsuls teiks, ka ir saistību indekss, ir atrasts vadītājs, viss ir kārtībā.

Kā mēs ar to tiekam galā? service consul restart kronā katru stundu. Ja jums ir 50 serveri, tas nav nekas liels. Kad to būs 16 000, jūs sapratīsit, kā tas darbojas.

Secinājums

Tā rezultātā mēs saņēmām šādas priekšrocības:

100% pārklājums visām Linux mašīnām.
Ātrums
Automatizācija.
Mēs atbrīvojām aparatūras un tīkla inženierus no verdzības.
Ir parādījušās gandrīz neierobežotas integrācijas iespējas: pat ar Kubernetes, pat ar Ansible, pat ar Python.

Mīnusi: Konsuls, ar kuru mums tagad ir jāsadzīvo, un ļoti augstās kļūdas izmaksas. Piemēram, reiz pulksten 6 (Krievijas galvenais laiks) es kaut ko rediģēju tīklu sarakstos. Mēs tajā laikā tikai būvējām siltināšanu uzņēmumā BEFW. Kaut kur kļūdījos, šķiet norādīju nepareizo masku, bet viss nokrita divās sekundēs. Iedegas monitorings, atskrien dežurējošā atbalsta persona: "Mums viss ir!" Nodaļas vadītājs kļuva pelēks, kad biznesam paskaidroja, kāpēc tas noticis.

Kļūdu izmaksas ir tik augstas, ka esam izstrādājuši paši savu sarežģīto profilakses procedūru. Ja to ieviešat lielā ražošanas vietā, jums nav visiem jāpiešķir galvenā pilnvara pār konsulu. Tas beigsies slikti.

Izmaksas Es rakstīju kodu 400 stundas vienatnē. Mana 4 cilvēku komanda katru mēnesi pavada 10 stundas, lai atbalstītu visus. Salīdzinot ar jebkura jaunās paaudzes ugunsmūra cenu, tas ir bez maksas.

Plāni. Ilgtermiņa plāns ir atrast alternatīvu transportu, lai aizstātu vai papildinātu konsulu. Varbūt tā būs Kafka vai kas līdzīgs. Bet nākamajos gados dzīvosim uz Consul.

Tūlītējie plāni: integrācija ar Fail2ban, ar uzraudzību, ar nftables, iespējams, ar citiem izplatījumiem, metrika, uzlabota uzraudzība, optimizācija. Arī Kubernetes atbalsts ir kaut kur plānos, jo tagad mums ir vairāki klasteri un vēlme.

Vairāk no plāniem:

meklēt anomālijas satiksmē;
tīkla karšu vadība;
Kubernetes atbalsts;
Pakešu komplektēšana visām sistēmām;
Web-UI.

Mēs pastāvīgi strādājam pie konfigurācijas paplašināšanas, metrikas palielināšanas un optimizācijas.

Pievienojies projektam. Projekts izrādījās foršs, bet diemžēl tas joprojām ir vienas personas projekts. Nāc uz GitHub un mēģināt kaut ko darīt: apņemties, pārbaudīt, kaut ko ieteikt, sniegt savu vērtējumu.

Tikmēr mēs gatavojamies Saint HighLoad++, kas notiks 6. un 7. aprīlī Sanktpēterburgā, un aicinām uz lielas slodzes sistēmu izstrādātājus pieteikties uz atskaiti. Pieredzējuši runātāji jau zina, kā rīkoties, bet tiem, kas sāk runāt, mēs iesakām vismaz izmēģināt. Dalībai konferencē kā runātājam ir vairākas priekšrocības. Kurus var izlasīt, piemēram, beigās no šī raksta.

Avots: www.habr.com

Consul + iptables = :3