I te tau 2010 te kamupene i reira 50 tūmau me te tauira whatunga māmā: te tuara, mua me te pātūahi. Ka piki ake te maha o nga kaitoro, ka uaua ake te tauira: te whakaari, nga VLAN motuhake me nga ACL, katahi ko nga VPN me nga VRF, nga VLAN me nga ACL i runga i te L2, nga VRF me nga ACL i runga i te L3. Kei te hurihuri te mahunga? Ka harikoa ake a muri ake nei.
I te 16 nga kaitoro, kua kore e taea te mahi me te kore roimata me te maha o nga waahanga rereke. Na ka puta mai he otinga ano. I tangohia e matou te puranga Netfilter, i taapiri atu a Consul hei puna raraunga, a ka whiwhi matou i te papangaahi kua tohatoha tere. I whakakapihia e ratou nga ACL i runga i nga pouara ka whakamahia hei papaahi o waho me roto. Hei whakahaere hihiri i te taputapu, i whakawhanakehia e matou te punaha BEFW, i whakamahia i nga waahi katoa: mai i te whakahaere i te urunga a te kaiwhakamahi ki te whatunga hua ki te wehe i nga waahanga whatunga mai i a raatau.
Ka korero ia ki a koe me pehea te mahi katoa me te aha me ata titiro koe ki tenei punaha. Ivan Agarkov () ko te upoko o te roopu haumarutanga hanganga o te wahanga Maintenance i te pokapū whanaketanga Minsk o te kamupene. Ko Ivan he kaiwhaiwhai SELinux, e aroha ana ki a Perl, me te tuhi waehere. I te mea ko ia te upoko o te roopu haumaru korero, ka mahi ia i nga wa katoa me nga raarangi, nga taapiri me te R&D hei tiaki i a Wargaming mai i nga kaiwhaiwhai me te whakarite i nga mahi a nga kaitoro takaro katoa i roto i te kamupene.
Papakupu Aamu
I mua i taku korero ki a koe me pehea ta matou mahi, ka korero ahau ki a koe me pehea i tae mai ai matou ki tenei i te waahi tuatahi me te aha i hiahiatia ai. Hei mahi i tenei, me hoki ki muri mo nga tau 9: 2010, ka puta mai te Ao o Tanks. Tata ki te 50 nga tūmau a Wargaming.
Tūtohi tipu tūmau kamupene.
He tauira whatunga ta matou. Mo tera wa he tino pai.
Tauira whatunga i te tau 2010.
He tangata kino kei te pito o mua e hiahia ana ki te wawahi i a tatou, engari he paahi. Karekau he papaahi i te tuara, engari e 50 nga kaitoro kei reira, e mohio ana matou ki a raatau katoa. He pai nga mea katoa.
I roto i nga tau e 4, ka 100 nga wa ka piki ake te waka rererangi, ki te 5000. Ko nga whatunga motuhake tuatahi ka puta - he waahi: kaore e taea te haere ki te mahi, a he maha nga mea e rere ana i reira ka kino pea.
Tauira whatunga i te tau 2014.
Na roto i te inertia, i whakamahia e matou nga waahanga o te taputapu, me nga mahi katoa i mahia i runga i nga VLAN taratahi: Ka tuhia nga ACL ki nga VLAN, e whakaae ana, e whakakahore ana ranei i etahi momo hononga.
I te tau 2016, ka eke te maha o nga kaitoro ki te 8000. I uru atu a Wargaming ki etahi atu taiwhanga, ka puta mai etahi atu hononga hononga. Te ahua nei no matou, engari ehara i te mea: I te nuinga o te wa kaore te VLAN e mahi mo nga hoa, me whakamahi koe i te VPN me te VRF, ka uaua ake te wehe. I tipu te ranunga whakamatao ACL.
Tauira whatunga i te tau 2016.
I te timatanga o te tau 2018, kua piki ake te waa o nga miihini ki te 16. E 000 nga waahanga, a, kaore i tatauhia e matou te toenga, tae atu ki nga mea kua kati i roto i nga korero putea. Ko nga whatunga ipu (Kubernetes), DevOps, whatunga kapua e hono ana ma te VPN, hei tauira, mai i te IVS, kua puta. He maha nga ture - he mamae.
Te tauira whatunga me nga tikanga wehe i te tau 2018.
Mo te wehe i whakamahia e matou: VLAN me ACL i runga i te L2, VRF me te ACL i runga i te L3, VPN me te maha atu. He nui rawa.
Nga raruraru
Ka noho nga tangata katoa me ACL me VLAN. He aha te he? Ka whakautua e Harold tenei patai, e huna ana i te mamae.
He maha nga raruraru, engari e rima nga raruraru nui.
- Te pikinga utu ahuahanga mo nga ture hou. He roa ake ia ture hou ki te taapiri atu i tera o mua, na te mea me titiro tuatahi mena he ture pera ano.
- Karekau he papaahi i roto i nga waahanga. I wehea nga wahanga i a raatau ano, a kaore i te nui nga rauemi o roto.
- I whakamahia nga ture mo te wa roa. Ka taea e nga kaiwhakahaere te tuhi i tetahi ture rohe ma te ringaringa i roto i te haora. He maha nga ra o te ao.
- Nga uaua ki nga ture arotake. He tika ake, kaore i taea. I tuhia nga ture tuatahi i te tau 2010, a ko te nuinga o nga kaituhi kua kore e mahi mo te kamupene.
- Te taumata iti o te whakahaere hanganga. Koinei te raru nui - kaore matou i te tino mohio ki nga mahi kei to matou whenua.
Koinei te ahua o te miihini whatunga i te tau 2018 i tana rongonga: "Me ACL ano."
Nga raruraru
I te timatanga o te 2018, i whakatauhia kia mahia tetahi mea mo taua mea.
Ko te utu o nga whakaurunga kei te tipu haere tonu. Ko te timatanga ko nga pokapū raraunga nui i mutu te tautoko i nga VLAN me nga ACL motuhake na te mea kua pau te mahara o nga taputapu.
Rongoā: i tangohia e matou te take tangata me te whakaaunoa i te whakarato urunga ki te teitei.
Ka roa te tono mo nga ture hou. Rongoā: tere te tono ture, kia tohatohahia, kia whakarara. Ka hiahiatia he punaha tohatoha kia tukuna nga ture ma ratou ano, kaore he rsync, SFTP ranei ki nga punaha kotahi mano.
Karekau he papaahi i roto i nga waahanga. I timata mai te paahi ahi i roto i nga waahanga i te wa i puta mai nga ratonga rereke i roto i te whatunga kotahi. Rongoā: whakamahia he pātūahi i te taumata kaihautū - he pātūahi e hāngai ana ki te ope. Tata ki nga waahi katoa kei a matou Linux, me nga waahi katoa kei a matou iptables, ehara tenei i te raru.
Nga uaua ki nga ture arotake. Rongoā: Purihia nga ture katoa ki te waahi kotahi mo te arotake me te whakahaere, kia taea ai e matou te tirotiro i nga mea katoa.
He iti te mana whakahaere mo nga hanganga. Rongoa: tangohia he rarangi o nga ratonga katoa me nga urunga ki waenga i a raatau.
He nui ake te mahi whakahaere i te mahi hangarau. I etahi wa ka 200-300 nga putanga hou ia wiki, ina koa i nga wa whakatairanga me nga hararei. Ano, mo te roopu kotahi o a maatau DevOps. Na te maha o nga tukunga, kaore e taea te kite he aha nga tauranga, nga IP, me nga whakauru e hiahiatia ana. Na reira, i hiahia matou ki nga kaiwhakahaere ratonga kua whakangungua motuhake i patai ki nga roopu: "He aha kei reira me te aha koe i kawe mai ai?"
I muri i nga mea katoa i whakarewahia e matou, he miihini whatunga i te tau 2019 ka tiimata te ahua penei.
Whakauru
I whakatau matou ka tukuna e matou nga mea katoa i kitea e matou me te awhina o nga kaiwhakahaere ratonga ki roto i te Consul, mai i reira ka tuhia e matou nga ture iptables.
I pehea ta matou whakatau ki te mahi i tenei?
- Ka kohia e matou nga ratonga katoa, nga whatunga me nga kaiwhakamahi.
- Me hanga ture iptables i runga i a raatau.
- Ka whakaaunoa matou i te mana whakahaere.
- ....
- PUTAI.
Ko te Consul ehara i te API mamao, ka taea te rere i runga i ia node me te tuhi ki nga iptables. Ko nga mea e toe ana ko te whakaputa i nga mana whakahaere aunoa hei horoi i nga mea koretake, ka whakatauhia te nuinga o nga raru! Ka mahia e matou te toenga i a matou e haere ana.
He aha te Consul?
Kua whakamatauria e ia ano. I te tau 2014-15, i whakamahia e matou hei tuara mo Vault, kei reira matou e penapena ai i nga kupuhipa.
Kaore e ngaro nga raraunga. I te wa e whakamahia ana, kaore a Consul i ngaro nga raraunga i te wa kotahi aitua. He taapiri nui tenei mo te punaha whakahaere paahi ahi.
Ko nga hononga P2P ka whakatere i te horapa o te huringa. Ma te P2P, ka tere haere nga huringa katoa, kaore e tika kia tatari mo nga haora.
API REST watea. I whakaarohia ano e matou a Apache ZooKeeper, engari karekau he REST API, na me whakauru koe i nga tootoo.
Ka mahi hei Waahi Matua (KV) me te Whaiaronga (Ratonga Tirohanga). Ka taea e koe te penapena ratonga, putumōhio me nga pokapū raraunga i te wa kotahi. He watea tenei ehara ma matou anake, engari mo nga roopu tata, na te mea ka hanga he ratonga ao, ka whakaaro nui matou.
I tuhia ki roto i te Haere, he wahanga o te putunga Wargaming. Aroha ana matou ki tenei reo, he maha a matou kaiwhakawhanake Go.
Pūnaha ACL kaha. I roto i te Consul, ka taea e koe te whakamahi i nga ACL hei whakahaere ko wai ka tuhi he aha. Ka oati matou ka kore nga ture paahiahi e inaki ki tetahi atu mea, a ka kore matou e raru ki tenei.
Engari kei a Consul ano ona ngoikoretanga.
- Kaore e tauine i roto i te pokapū raraunga mena he putanga pakihi koe. Ka taea noa e te whakakotahitanga.
- Ka tino whakawhirinaki ki te kounga o te whatunga me te utaina o te tūmau. E kore e mahi tika a Consul hei tūmau i runga i te tūmau pukumahi mena he takamuri kei roto i te whatunga, hei tauira, te tere koretake. Ko tenei na nga hononga P2P me te whakahou i nga tauira tohatoha.
- He uaua ki te aro turuki. I roto i te mana Consul ka taea e ia te kii kei te pai nga mea katoa, engari kua mate ia i mua.
I whakatauhia e matou te nuinga o enei raru i te wa e whakamahi ana matou i te Consul, na reira matou i whiriwhiri ai. Kei te kamupene he mahere mo tetahi atu tuara, engari kua ako matou ki te whakatau i nga raru, kei te noho tahi matou me Consul.
Me pehea te mahi a Consul
Ka whakaurua e matou nga kaitoro e toru ki te rima ki tetahi pokapū raraunga herenga. Kotahi, e rua ranei nga kaitoro kare e mahi: kare e taea e ratou te whakarite i te koorama me te whakatau ko wai te tika me te he karekau e taurite nga raraunga. Neke atu i te rima kaore he tikanga, ka heke te hua.
Ka hono nga kaihoko ki nga kaitoro i roto i nga tikanga katoa: ko nga kaihoko rite, me te haki anake server = false.
I muri i tenei, ka whiwhi nga kaihoko i te rarangi o nga hononga P2P me te hanga hononga ki a raatau ano.
I te taumata o te ao, ka honoa e matou etahi pokapū raraunga. Ka hono hoki ratou i te P2P me te whakawhitiwhiti korero.
Ina hiahia ana matou ki te tiki raraunga mai i tetahi atu pokapū raraunga, ka haere te tono mai i te tūmau ki te tūmau. Ka kiia tenei kaupapa Kawa mahi. Ko te kawa Serf, penei i a Consul, i whakawhanakehia e HashiCorp.
Ko etahi korero nui mo Consul
Kei a Consul nga tuhinga e whakaatu ana me pehea te mahi. Ka hoatu e ahau anake nga meka kua tohua e tika ana kia mohio.
Ka kowhiria e nga kaihautu tetahi rangatira mai i nga kaipōti. Ka whiriwhiri a Consul i tetahi rangatira mai i te rarangi o nga kaitoro mo ia pokapū raraunga, ka haere nga tono katoa ki a ia, ahakoa te maha o nga kaitoro. Ko te tino mīti e kore e arai ki te pooti ano. Mena karekau te rangatira i tohua, karekau e tukuna nga tono e tetahi.
Kei te pirangi koe ki te tauine whakapae? Aroha mai, kaore.
Ko te tono ki tetahi atu pokapū raraunga ka haere mai i te rangatira ki te rangatira, ahakoa ko wai te tūmau i tae mai. Ko te rangatira kua tohua ka whiwhi i te 100% o te kawenga, haunga te kawenga mo nga tono whakamua. Ko nga tūmau katoa o te pokapū raraunga he kape hou o nga raraunga, engari kotahi anake te whakautu.
Ko te huarahi anake ki te tauine ko te whakahoe i te aratau matea ki te kiritaki.
I roto i te aratau mate, ka taea e koe te whakautu me te kore koorum. He aratau tenei ka tukuna e matou te rite o nga raraunga, engari he tere ake te panui atu i nga wa o mua, a ka whakautu mai tetahi tūmau. Ko te tikanga, ko te tuhi ma te rangatira anake.
Kaore a Consul e kape i nga raraunga i waenga i nga pokapū raraunga. I te wa e whakahiatohia ana te roopu, ka riro i ia kaimau tana ake raraunga anake. Mo etahi atu, ka huri tonu ia ki tetahi atu.
Ko te ngota o nga mahi karekau e taurangi i waho o te tauwhitinga. Kia mahara ehara ko koe anake ka taea te whakarereke i nga mea. Ki te hiahia rereke koe, whakahaere i tetahi tauwhitinga me te raka.
Ko nga mahi aukati kaore e kii i te maukati. Ka haere te tono mai i te rangatira ki te rangatira, kaore i te tika, na reira kaore he taurangi ka mahi te aukati ina aukati koe, hei tauira, i tetahi atu pokapū raraunga.
Kare hoki a ACL e whakamana i te urunga (i te nuinga o nga wa). Kare pea te ACL e mahi na te mea kei te rongoa i roto i te pokapū raraunga kotahi - kei te pokapū raraunga ACL (Primary DC). Mena kaore te DC e whakautu ki a koe, ka kore te ACL e mahi.
Ma tetahi rangatira tio ka whakatio te katoa o te Huihuinga. Hei tauira, 10 nga pokapū raraunga kei roto i te roopu, a he kino te whatunga o tetahi, a kotahi te rangatira i rahua. Ko nga tangata katoa e korero ana ki a ia ka mau ki roto i te porowhita: he tono, kaore he whakautu, ka mutu te miro. Karekau he huarahi e mohio ai ahea ka puta tenei, i roto noa i te kotahi, e rua ranei haora ka hinga te katoa o te Huihuinga. Karekau he mea ka taea e koe.
Ko te mana, te koorama me nga pooti e whakahaerea ana e tetahi miro motuhake. E kore e pootitia ano, kaore te mana e whakaatu i tetahi mea. E whakaaro ana koe he Kaihautu ora koe, ka patai koe, kaore he mea e puta - kaore he whakautu. I te wa ano, ko te mana e whakaatu ana he pai nga mea katoa.
Kua pa ki a matou tenei raru me te hanga ano i etahi waahanga motuhake o nga pokapū raraunga hei karo.
Ko te putanga pakihi o Consul Enterprise karekau etahi o nga ngoikoretanga i runga ake nei. He maha nga mahi whai hua: te kowhiri i nga kaipōti, te tohatoha, te whakatauira. Kotahi anake "engari" - he tino utu te punaha raihana mo te punaha tohatoha.
Life hacking: rm -rf /var/lib/consul - he rongoa mo nga mate katoa o te kaihoko. Ki te kore tetahi mea e pai ki a koe, muku noa to raraunga ka tango i nga raraunga mai i te kape. Ko te nuinga, ka mahi a Consul.
BEFW
Inaianei me korero tatou mo nga mea kua taapiri atu ki a Consul.
he acronym mo BAckEndFhāoraWkatoa. Me whakaingoatia e ahau te hua i te wa i hanga ai e au te putunga hei whakauru i te whakamatautau tuatahi ki roto. Ka mau tonu tenei ingoa.
Nga tauira ture
Ka tuhia nga ture ki te wetereo iptables.
- -N BEFW
- -P TUKU KOREUTU
- -He INPUT -m state—state RELATED, STABLISHED -j WAHI
- -A INPUT -i lo -j FAKATOKANGA
- -He INPUT -j BEFW
Ka uru nga mea katoa ki te mekameka BEFW, haunga ESTABLISHED, RELATED me te localhost. Ka taea e te tauira tetahi mea, he tauira noa tenei.
He pehea te whai hua a BEFW?
Ratonga
He ratonga ta matou, he tauranga tonu, he node e rere ana. Mai i to tatou node, ka taea e taatau te patai ki te kaihoko me te mohio kei a matou etahi momo ratonga. Ka taea hoki e koe te whakauru tohu.
Ko nga ratonga e whakahaere ana, kua rehitatia ki a Consul ka huri hei ture iptables. Kei a matou SSH - tuwhera te tauranga 22. He ngawari te tuhi Bash: curl me iptables, kaore he mea ke atu.
Kaihoko
Me pehea te whakatuwhera i te uru ki nga tangata katoa, engari ma te whiriwhiri? Taapirihia nga rarangi IP ki te rokiroki KV ma te ingoa ratonga.
Hei tauira, e hiahia ana matou kia uru nga tangata katoa o te whatunga whakatekau ki te ratonga SSH_TCP_22. Tāpirihia tētahi āpure TTL iti? a inaianei kei a matou nga whakaaetanga rangitahi, hei tauira, mo te ra.
Nga urunga
Ka hono matou i nga ratonga me nga kaihoko: he ratonga ta matou, kua rite te rokiroki KV mo ia. Inaianei ka hoatu e matou te urunga kaore ki te katoa, engari ma te whiriwhiri.
rōpū
Mena ka tuhia e matou nga mano o nga IP mo te uru atu i nga wa katoa, ka ngenge matou. Me hanga whakarōpūtanga - he waahanga motuhake kei te KV. Me tapaina ko Alias (roopu ranei) ka penapena nga roopu ki reira kia rite ki te kaupapa kotahi.
Me hono tatou: inaianei ka taea e tatou te whakatuwhera i te SSH ehara i te mea motuhake mo te P2P, engari mo te roopu katoa, etahi roopu ranei. Waihoki, he TTL - ka taea e koe te taapiri atu ki tetahi roopu me te tango i te roopu mo te wa poto.
Te whakauru
Ko ta matou raruraru ko te take tangata me te mahi aunoa. I tenei wa kua whakatauhia e matou i tenei huarahi.
Ka mahi tahi matou me te Puppet, me te whakawhiti i nga mea katoa e pa ana ki te punaha (waehere tono) ki a raatau. Puppetdb (PostgreSQL auau) he rarangi o nga ratonga e rere ana ki reira, ka kitea ma te momo rauemi. I reira ka kitea e koe ko wai kei te tono ki hea. He punaha tono toia me te hanumi hoki mo tenei.
I tuhia e matou te befw-sync, he otinga ngawari hei awhina i te whakawhiti raraunga. Tuatahi, ka uru nga pihikete tukutahi e puppetdb. Kua whirihorahia he API HTTP ki reira: ka tono matou he aha nga ratonga kei a matou, he aha me mahi. Katahi ratou ka tono tono ki a Consul.
He whakaurunga? Ae: i tuhia e ratou nga ture me te whakaae kia whakaaetia nga Tono Toia. Kei te hiahia koe ki tetahi tauranga, ki te taapiri i tetahi kaihautu ki etahi roopu? Toia Tono, arotake - kore ake "Kimihia etahi atu ACL 200 ka ngana ki te mahi i tetahi mea."
Whakaritea
Ko te pinging localhost me te mekameka ture putua e 0,075 ms.
Kia 10 nga wahitau iptables ki tenei mekameka. Ko te mutunga, ka piki ake te ping kia 000 nga wa: he tino rarangi nga iptables, he wa roa te tukatuka i ia wahitau.
Mo te paahi ahi e heke ana matou i nga mano o nga ACL, he maha a matou ture, a na tenei ka whakauru mai i te waahi. He kino tenei mo nga kawa petipeti.
Engari ki te hoatu e matou 10 wāhitau kei roto i te ipset Ka iti haere te ping.
Ko te tohu ko te “O” (te matatini taurangi) mo te ipset he rite tonu ki te 1, ahakoa te maha o nga ture. Pono, he herenga - kaore e neke ake i nga ture 65535. Inaianei kei te noho tatou me tenei: ka taea e koe te whakakotahi, te whakawhanui, te hanga kia rua ipset ki te kotahi.
Te rokiroki
Ko te haere tonutanga arorau o te tukanga whitiwhiti ko te penapena korero mo nga kaihoko mo te ratonga i roto i te ipset.
Inaianei kei a matou ano te SSH, a kaore matou e tuhi i nga IP 100 i te wa kotahi, engari ka tautuhi i te ingoa o te ipset e tika ana kia korero, me te ture e whai ake nei DROP. Ka taea te huri ki te ture kotahi "Ko wai kaore i konei, DROP", engari he maamaa ake.
Inaianei kei a tatou nga ture me nga huinga. Ko te mahi nui ko te hanga huinga i mua i te tuhi i te ture, na te mea karekau nga iptables e tuhi i te ture.
Kaupapa whaanui
I roto i te ahua o te hoahoa, he penei te ahua o aku korero katoa.
Ka whakapau kaha matou ki te Puppet, ka tukuna nga mea katoa ki te kaihautu, ratonga i konei, ipset ki reira, karekau e whakaaehia te tangata kaore i rehitatia ki reira.
Whakaae & whakakahore
Hei whakaora tere i te ao, kia tere ranei te whakakore i tetahi tangata, i te timatanga o nga mekameka katoa i hanga e matou e rua nga ipset: rules_allow и rules_deny. Pehea te mahi?
Hei tauira, kei te hangaia e tetahi he uta ki runga i to maatau Tukutuku me nga potae. I mua, me rapu koe i tana IP mai i nga rakau, kawea ki nga miihini whatunga, kia kitea ai te puna o te waka me te aukati i a ia. He rereke te ahua inaianei.
Ka tukuna atu ki a Consul, tatari mo te 2,5 hēkona, ka oti. I te mea ka tere te tohatoha a Consul ma te P2P, ka mahi i nga waahi katoa, i nga waahi katoa o te ao.
I tetahi wa ka mutu taku WOT na te he ki te papangaahi. rules_allow - Ko ta matou inihua mo enei keehi. Ki te he matou ki tetahi wahi me te paahi ahi, kua araia tetahi mea ki tetahi waahi, ka taea e matou te tuku herenga 0.0/0kia tere te tiki i nga mea katoa. I muri mai ka whakatikahia e matou nga mea katoa ma te ringa.
Ko etahi atu huinga
Ka taea e koe te taapiri i etahi atu huinga ki te waahi $IPSETS$.
Hei aha? I etahi wa ka hiahia tetahi ki te ipset, hei tauira, ki te whai i te katinga o etahi wahanga o te tautau. Ka taea e te tangata te kawe mai i etahi huinga, whakaingoatia, ka tikina mai i a Consul. I te wa ano, ka taea e nga huinga te whai waahi ki nga ture iptables ka mahi roopu ranei NOOP: Ma te daemon e pupuri te riterite.
kaiwhakamahi
I mua, he penei: te kaiwhakamahi hono ki te whatunga me te whiwhi tawhā i roto i te rohe. I mua i te taenga mai o nga papaahi reanga hou, kaore a Cisco i mohio ki te mohio kei hea te kaiwhakamahi me te waahi kei hea te IP. Na reira, i tukuna te urunga ma te ingoa kaihautu o te miihini.
I aha tatou? I mau matou i te wa i riro mai ai te wahitau. Ko te tikanga ko dot1x tenei, Wi-Fi, VPN ranei - ka haere nga mea katoa ma RADIUS. Mo ia kaiwhakamahi, ka waihangahia e matou he roopu ma te ingoa kaiwhakamahi ka tuu he IP ki roto me te TTL e rite ana ki tana dhcp.lease - ka mutu ana, ka ngaro te ture.
Inaianei ka taea e taatau te whakatuwhera i te uru ki nga ratonga, penei i etahi atu roopu, ma te ingoa kaiwhakamahi. Kua tangohia e matou te mamae o nga ingoa kaihautu ina huri ana ratou, a kua tangohia e matou te taumahatanga o nga miihini whatunga na te mea kua kore ratou e hiahia ki a Cisco. Inaianei kua rehitatia e nga miihini te uru ki o raatau kaitoro.
Mātao
I te wa ano, ka timata matou ki te whakakore i te waahi. I tangohia e nga kaiwhakahaere o te ratonga he rarangi ingoa, a ka tātarihia o maatau whatunga katoa. Kia wehewehea ratou ki nga roopu kotahi, a ki runga i nga tuunga e tika ana i taapirihia nga roopu, hei tauira, ki te whakakahore. Inaianei ka mutu te noho wehe i roto i nga ture_whakakahoretanga o te hanga, engari kaore i roto i te whakaputanga ake.
He tere me te ngawari te mahi a te kaupapa: ka tangohia e matou nga ACL katoa mai i nga kaitoro, ka wetekina nga taputapu, ka whakaheke i te maha o nga VLAN taratahi.
Mana tapatahi
I mua, he keu motuhake ta matou i korero i te whakarereke a te tangata i te ture paahi ahi. Kei te tuhi au i tetahi rarangi nui mo te tirotiro i nga ture papaahi, he uaua. Kei te whakahaeretia te tapatahi e BEFW. Ka whakapau kaha ia ki te whakarite kia kaua e rereke nga ture e mahia ana e ia. Mena ka huri te tangata i nga ture paahi ahi, ka huri ano nga mea katoa. "Ka tere taku whakarite takawaenga kia taea e au te mahi mai i te kainga"—kare he whiringa pera.
Ka whakahaerehia e BEFW te ipset mai i nga ratonga me te raarangi i roto i te befw.conf, nga ture o nga ratonga i roto i te mekameka BEFW. Engari kaore e aro turuki i etahi atu mekameka me nga ture me etahi atu ipset.
Parenga tukinga
Kei te rongoa tonu a BEFW i te ahua pai kua mohiotia i roto i te hanganga rua state.bin. Ki te he tetahi mea, ka hoki tonu ki tenei state.bin.
He inihua tenei mo te mahi a Consul e kore e taea te tuku raraunga, ka he ranei tetahi ka whakamahi ture kaore e taea te whakamahi. Kia kore ai tatou e waiho kia kore he papaahi, ka hoki mai a BEFW ki te ahua hou mena ka puta he hapa i tetahi wa.
I roto i nga ahuatanga tino nui, he tohu tenei ka waiho maatau he papangaahi mahi. Ka whakatuwherahia e matou nga whatunga hina katoa i runga i te tumanako ka tae mai te kaiwhakahaere ki te whakatika. Hei tetahi ra ka hoatu e ahau tenei ki roto i nga whirihora, engari inaianei e toru noa nga whatunga hina: 10/8, 172/12 me 192.168/16. I roto i to tatou Kaunihera, he waahanga nui tenei hei awhina i a tatou ki te whakawhanake ake.
Demo: i te wa o te ripoata, ka whakaatu a Ivan i te ahua demo o BEFW. He ngawari ake te matakitaki i te whakaaturanga . Kei te waatea te waehere puna demo .
ngaahi tō'anga
Ka korero ahau ki a koe mo nga pepeke i tutakihia e matou.
ipset taapiri huinga 0.0.0.0/0. Ka aha mena ka taapirihia e koe te 0.0.0.0/0 ki te ipset? Ka taapirihia nga IP katoa? Ka waatea te uru ipurangi?
Kao, ka whiwhi tatou i tetahi pepeha e rua haora te utu mo te wa whakaroa. I tua atu, kaore i mahi te pepeha mai i te 2016, kei te RedHat Bugzilla kei raro i te nama #1297092, a ka kitea e matou i te aitua - mai i te purongo a te kaiwhakawhanake.
Inaianei he tino ture i BEFW tera 0.0.0.0/0 ka huri ki nga wahitau e rua: 0.0.0.0/1 и 128.0.0.0/1.
ipset whakahoki huinga < kōnae. He aha te mahi a ipset ina korero koe ki restore? Ki to whakaaro he rite tonu te mahi ki nga iptables? Ka ora ake nga raraunga?
Kaore he mea pera - he hanumi, kaore nga wahitau tawhito e haere ki hea, kaore koe e aukati i te uru.
I kitea e matou he pepeke i te wa e whakamatautau ana i te wehe. Inaianei he punaha tino uaua - hei utu mo restore puritia create tempno reira restore flush temp и restore temp. I te mutunga o te whakawhiti: mo te atomicity, na te mea ka mahia e koe i te tuatahi flush a i tenei wa ka tae mai etahi kete, ka rukea, ka he tetahi mea. No reira he ahua makutu mangu kei reira.
consul kv tiki -datacenter=etahi atu. Ka rite ki taku korero, e whakaaro ana matou kei te tono matou mo etahi raraunga, engari ka whiwhi matou i nga raraunga, i te hapa ranei. Ka taea e taatau te mahi i tenei rohe ma te Kaapene, engari i tenei keehi ka whakatio nga mea e rua.
He takai te kiritaki Consul rohe ki runga i te API HTTP. Engari ka iri noa karekau e whakautu ki a Ctrl+C, Ctrl+Z ranei, ki tetahi mea ranei, anake kill -9 i te papatohu e whai ake nei. I tutaki matou i tenei i te wa e hanga ana matou i tetahi roopu nui. Engari kare ano he otinga; kei te whakareri matou ki te whakatika i tenei hapa i Consul.
Kaore te rangatira o te kaunihera i te whakautu. Kaore to maatau rangatira i roto i te pokapū raraunga e whakautu ana, e whakaaro ana matou: "Akene ka mahi te algorithm reselection inaianei?"
Kaore, kaore e mahi, kaore hoki te aroturuki e whakaatu i tetahi mea: Ka kii a Consul kei reira he tohu whakapumautanga, kua kitea he rangatira, he pai nga mea katoa.
Me pehea tatou ki tenei? service consul restart i roto i te cron ia haora. Mena kei a koe nga kaitoro 50, kaore he mahi nui. Ina 16 o ratou, ka mohio koe me pehea te mahi.
mutunga
Ko te mutunga mai, i whiwhi matou i nga painga e whai ake nei:
- 100% te kapi o nga miihini Linux katoa.
- Tere
- Aunoatanga.
- I wetekina e matou nga miihini me nga miihini whatunga mai i te mahi taurekareka.
- Kua puta mai nga huarahi whakauru e tata ana ki te kore mutunga: ahakoa ki nga Kubernetes, ahakoa ki te Ansible, ahakoa ki te Python.
Минусы: Consul, me noho tatou inaianei, me te utu nui o te he. Hei tauira, kotahi i te 6 i te ahiahi (te wa tuatahi i Russia) i whakatika ahau i tetahi mea i roto i nga rarangi o nga whatunga. I hanga noa matou i te whakamatao ki BEFW i tera wa. I he ahau ki tetahi waahi, te ahua nei i tohu ahau i te kanohi he, engari ka hinga nga mea katoa i roto i te rua hēkona. Ka whiti te aro turuki, ka oma te tangata tautoko i runga i te mahi: "Kei a matou nga mea katoa!" Ka hina te upoko o te tari i tana whakamaramatanga ki te pakihi he aha i puta ai tenei.
He nui rawa te utu mo te he, kua tae mai ta maatau ake tikanga aukati uaua. Mena ka whakatinanahia e koe i runga i te waahi whakaputa nui, kaore koe e hiahia ki te tuku tohu rangatira mo te Consul ki te katoa. Ka mutu kino tenei.
Te utu I tuhia e ahau te waehere mo nga haora 400 anake. E 4 haora i te marama taku roopu o nga tangata 10 mo te tautoko mo te katoa. Ka whakatauritea ki te utu o tetahi papaahi reanga hou, he kore utu.
Mahere. Ko te mahere mo te wa roa ko te kimi waka rereke hei whakakapi, hei whakakii ranei i a Consul. Tena pea ko Kafka, he mea rite ranei. Engari hei nga tau e haere ake nei ka noho tatou i runga i te Consul.
Mahere tonu: te whakauru ki a Fail2ban, me te aro turuki, me nga nftables, me etahi atu tohatoha, ine, te aro turuki matatau, te arotautanga. Ko te tautoko a Kubernetes kei roto ano i nga mahere, na te mea he maha nga tautau me te hiahia inaianei.
Ētahi atu mahere:
- rapu mo nga mea rereke i roto i nga waka;
- whakahaere mahere whatunga;
- Tautoko Kubernetes;
- te whakaemi i nga kohinga mo nga punaha katoa;
- Tukutuku-UI.
Kei te mahi tonu matou ki te whakawhānui ake i te whirihoranga, te whakanui ake i nga ine me te arotautanga.
Whakauruhia te kaupapa. Ko te kaupapa i puta he hauhautanga, engari, ko te mate, he kaupapa kotahi tonu. Haere mai me te ngana ki te mahi i tetahi mea: whakapumau, whakamatautau, whakaaro tetahi mea, hoatu to aromatawai.
I tenei wa kei te whakarite maatau , ka tu i te Paenga-whāwhā 6 me te 7 i St. . Kua mohio kē nga kaikōrero mātanga me aha, engari mō te hunga hou ki te whaikōrero ka tūtohu mātou . He maha nga painga o te whai waahi ki te huihuinga hei kaikorero. Ka taea e koe te panui ko wai, hei tauira, i te mutunga .
Source: will.com
