ဆောင်းပါး၏ရည်ရွယ်ချက်မှာ Kubernetes ရှိ ကွန်ရက်ချိတ်ဆက်ခြင်းနှင့် ကွန်ရက်မူဝါဒများကို စီမံခန့်ခွဲခြင်းနှင့် စီမံခန့်ခွဲခြင်းဆိုင်ရာ အခြေခံများကို စာဖတ်သူအား မိတ်ဆက်ရန်နှင့် စံစွမ်းဆောင်ရည်များကို တိုးချဲ့သည့် ပြင်ပအဖွဲ့အစည်း Calico ပလပ်အင်ကို မိတ်ဆက်ပေးရန်ဖြစ်သည်။ လမ်းကြောင်းတစ်လျှောက်တွင်၊ ကျွန်ုပ်တို့၏လုပ်ငန်းလည်ပတ်မှုအတွေ့အကြုံမှ လက်တွေ့ဥပမာများကို အသုံးပြု၍ ဖွဲ့စည်းမှုပုံစံနှင့် အချို့သောအင်္ဂါရပ်များကို လွယ်ကူစွာပြသပါမည်။
Kubernetes ကွန်ရက်ချိတ်ဆက်ကိရိယာအတွက် အမြန်မိတ်ဆက်ခြင်း။
ကွန်ရက်မရှိဘဲ Kubernetes အစုအဝေးတစ်ခုအား စိတ်ကူးမယဉ်နိုင်ပါ။ ကျွန်ုပ်တို့သည် ၎င်းတို့၏ အခြေခံအကြောင်းအရာများကို ထုတ်ပြန်ထားပြီးဖြစ်သည်-"
ဤဆောင်းပါး၏အခြေအနေတွင်၊ K8s ကိုယ်တိုင်က containers နှင့် nodes များကြား ကွန်ရက်ချိတ်ဆက်မှုအတွက် တာဝန်မရှိကြောင်း သတိပြုရန် အရေးကြီးသည်- ဤအတွက်၊ အမျိုးမျိုး၊ CNI ပလပ်အင်များ (Container Networking Interface)။ ဒီသဘောတရားကို ကျွန်တော်တို
ဥပမာအားဖြင့်၊ ဤပလပ်အင်များအနက် အသုံးအများဆုံးမှာ
Kubernetes အစုအဝေးတွင် ကွန်ရက်မူဝါဒစီမံခန့်ခွဲမှုကို စီစဉ်ခြင်းအတွက် "ဘောင်အပြင်မှ" ကို ပေးထားသည်။
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector:
matchLabels:
role: db
policyTypes:
- Ingress
- Egress
ingress:
- from:
- ipBlock:
cidr: 172.17.0.0/16
except:
- 172.17.1.0/24
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
ports:
- protocol: TCP
port: 6379
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978
ဤသည်မှာ ရှေးအကျဆုံး ဥပမာမဟုတ်ပေ။
အသွားအလာ အမျိုးအစား 2 မျိုး ရှိသည်ဟူသည့် ယုတ္တိဗေဒအရ ပေါ့ဒ်သို့ ဝင်ခြင်း (Ingress) နှင့် ၎င်းမှ ထွက်ခြင်း (Egress)။
တကယ်တော့ နိုင်ငံရေးဆိုတာ လှုပ်ရှားမှုရဲ့ ဦးတည်ချက်အပေါ် အခြေခံပြီး ဒီအမျိုးအစား ၂ မျိုး ခွဲထားပါတယ်။
နောက်ထပ်လိုအပ်သော attribute မှာ selector တစ်ခုဖြစ်သည်။ စည်းကမ်းလိုက်နာသူ။ ၎င်းသည် pod (သို့မဟုတ် pods အုပ်စုများ) သို့မဟုတ် ပတ်ဝန်းကျင် (ဆိုလိုသည်မှာ namespace တစ်ခု) ဖြစ်နိုင်သည်။ အရေးကြီးသောအသေးစိတ်အချက်- ဤအရာဝတ္ထုအမျိုးအစားနှစ်ခုစလုံးတွင် အညွှန်းတစ်ခုပါရှိရမည် (တံဆိပ် Kubernetes ဝေါဟာရဗေဒတွင်) - ဤအရာများသည် နိုင်ငံရေးသမားများနှင့် လုပ်ကိုင်ဆောင်ရွက်နေသူများဖြစ်သည်။
အညွှန်းတစ်မျိုးမျိုးဖြင့် ပေါင်းစည်းထားသည့် ကန့်သတ်ရွေးချယ်မှုအရေအတွက်အပြင်၊ မတူညီသောပုံစံများဖြင့် "ခွင့်ပြု/ငြင်းဆိုခြင်း/လူတိုင်း" ကဲ့သို့သော စည်းမျဉ်းများကို ရေးနိုင်သည်။ ဤရည်ရွယ်ချက်အတွက်၊ ပုံစံတည်ဆောက်မှုများကို အသုံးပြုသည်-
podSelector: {}
ingress: []
policyTypes:
- Ingress
— ဤဥပမာတွင်၊ ပတ်ဝန်းကျင်ရှိ pods အားလုံးကို အဝင်လမ်းကြောင်းမှ ပိတ်ဆို့ထားသည်။ ဆန့်ကျင်ဘက်အပြုအမူကို အောက်ပါတည်ဆောက်မှုဖြင့် အောင်မြင်နိုင်သည်။
podSelector: {}
ingress:
- {}
policyTypes:
- Ingress
အပြင်ထွက်ခြင်းအတွက် အလားတူ:
podSelector: {}
policyTypes:
- Egress
- အဲဒါကို ပိတ်လိုက်ပါ။ ဤတွင် ပါဝင်ရမည့်အရာများမှာ-
podSelector: {}
egress:
- {}
policyTypes:
- Egress
အစုအဖွဲ့တစ်ခုအတွက် CNI ပလပ်အင်ရွေးချယ်မှုသို့ ပြန်သွားသည်မှာ သတိပြုသင့်သည်။ ကွန်ရက်ပလပ်အင်တိုင်းသည် NetworkPolicy ကို မပံ့ပိုးပါ။. ဥပမာအားဖြင့်၊ ဖော်ပြပြီးသား Flannel သည် ကွန်ရက်မူဝါဒများကို မည်သို့စီစဉ်သတ်မှတ်ရမည်ကို မသိပါ။
Calico: သီအိုရီကို သိလာခြင်း
Calico ပလပ်အင်ကို Flannel (ပရောဂျက်ခွဲ) နှင့် ပေါင်းစည်းရာတွင် အသုံးပြုနိုင်သည်။
K8s “boxed” solution နှင့် Calico မှ သတ်မှတ်ထားသော API ကို အသုံးပြု၍ မည်သည့်အခွင့်အလမ်းများကို ပေးစွမ်းသနည်း။
ဤသည်မှာ NetworkPolicy တွင်တည်ဆောက်ထားသည့်အရာဖြစ်သည်-
- နိုင်ငံရေးသမားများကို ပတ်ဝန်းကျင်က ကန့်သတ်ထားသည်။
- မူဝါဒများကို အညွှန်းများဖြင့် အမှတ်အသားပြုထားသည့် pods များတွင် ကျင့်သုံးသည်၊
- စည်းမျဉ်းများကို pods၊ ပတ်ဝန်းကျင် သို့မဟုတ် subnets များတွင် အသုံးချနိုင်သည်။
- စည်းမျဉ်းများတွင် ပရိုတိုကောများ၊ အမည်ရှိ သို့မဟုတ် သင်္ကေတဆိုင်ရာ ဆိပ်ကမ်းသတ်မှတ်ချက်များ ပါဝင်နိုင်သည်။
Calico သည် ဤလုပ်ဆောင်ချက်များကို မည်ကဲ့သို့ ချဲ့ထွင်သည် ။
- မူဝါဒများကို မည်သည့်အရာဝတ္တုတွင်မဆို အသုံးချနိုင်သည်- pod၊ container၊ virtual machine သို့မဟုတ် interface;
- စည်းမျဉ်းများတွင် သီးခြားလုပ်ဆောင်ချက် (တားမြစ်ခြင်း၊ ခွင့်ပြုချက်၊ သစ်ခုတ်ခြင်း) ပါ၀င်နိုင်သည်။
- ပစ်မှတ် သို့မဟုတ် စည်းမျဉ်းများ၏ရင်းမြစ်သည် ဆိပ်ကမ်းတစ်ခု၊ ဆိပ်ကမ်းများ၊ ပရိုတိုကောများ၊ HTTP သို့မဟုတ် ICMP ရည်ညွှန်းချက်များ၊ IP သို့မဟုတ် ကွန်ရက်ခွဲ (4th သို့မဟုတ် 6th မျိုးဆက်)၊ မည်သည့်ရွေးချယ်မှုမဆို (nodes၊ hosts၊ ပတ်ဝန်းကျင်များ) ဖြစ်နိုင်သည်။
- ထို့အပြင်၊ သင်သည် DNAT ဆက်တင်များနှင့် ယာဉ်အသွားအလာ ထပ်ဆင့်ခြင်းမူဝါဒများကို အသုံးပြု၍ အသွားအလာလမ်းကြောင်းကို ထိန်းညှိနိုင်သည်။
Calico repository တွင် GitHub တွင် ပထမဆုံးလုပ်ဆောင်မှုသည် ဇူလိုင်လ 2016 မှစတင်ပြီး တစ်နှစ်အကြာတွင် ပရောဂျက်သည် Kubernetes ကွန်ရက်ချိတ်ဆက်မှုကို စည်းရုံးရာတွင် ဦးဆောင်နေရာယူခဲ့သည် - ၎င်းကို ဥပမာအားဖြင့် စစ်တမ်းရလဒ်များအရ သက်သေပြပါသည်။
K8s ကဲ့သို့သော ကြီးမားသော စီမံခန့်ခွဲသည့် ဖြေရှင်းချက်များစွာ
စွမ်းဆောင်ရည်ပိုင်းအရတော့ အရာအားလုံးက ဒီမှာ ကောင်းပါတယ်။ ၎င်းတို့၏ထုတ်ကုန်ကို စမ်းသပ်ရာတွင်၊ Calico ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့သည် တစ်စက္ကန့်လျှင် ကွန်တိန်နာ 50000 နှုန်းဖြင့် ဖန်တီးမှုနှုန်းဖြင့် ကွန်တိန်နာ 500 ကျော်တွင် ကွန်တိန်နာ 20 ကျော်ကို သရုပ်ပြခဲ့သည်။ အတိုင်းအတာ ချဲ့ထွင်ခြင်းတွင် မည်သည့်ပြဿနာမျှ မတွေ့ရှိရပါ။ အဲဒီလိုဖြစ်မှာပဲ။
ပရောဂျက်သည် အလွန်လျင်မြန်စွာ ဖွံ့ဖြိုးတိုးတက်နေပြီး၊ ၎င်းသည် လူကြိုက်များသော K8s၊ OpenShift၊ OpenStack စီမံခန့်ခွဲသည့် ဖြေရှင်းချက်များတွင် အလုပ်လုပ်ရန် ပံ့ပိုးပေးသည်၊ ၎င်းကို အသုံးပြု၍ အစုအဝေးတစ်ခုကို အသုံးပြုသည့်အခါ Calico ကို အသုံးပြုနိုင်သည်။
Calico နှင့်လေ့ကျင့်ပါ။
vanilla Kubernetes ကိုအသုံးပြုခြင်း၏ ယေဘူယျအခြေအနေတွင်၊ CNI ကိုထည့်သွင်းခြင်းသည် ဖိုင်ကိုအသုံးပြုခြင်းတွင် အကျုံးဝင်ပါသည်။ calico.yaml
, kubectl apply -f
.
စည်းကမ်းအရ၊ ပလပ်အင်၏ လက်ရှိဗားရှင်းသည် Kubernetes ၏ နောက်ဆုံးဗားရှင်း 2-3 ဗားရှင်းနှင့် ကိုက်ညီမှုရှိသည်- ဗားရှင်းအဟောင်းများတွင် လုပ်ဆောင်မှုကို မစမ်းသပ်ရသေးဘဲ အာမခံချက်မရှိပါ။ developer များအဆိုအရ Calico သည် iptables သို့မဟုတ် IPVS ၏ထိပ်တွင် CentOS 3.10၊ Ubuntu 7 သို့မဟုတ် Debian 16 ကိုအသုံးပြုသည့် 8 အထက် Linux kernels ပေါ်တွင်အလုပ်လုပ်သည်။
ပတ်ဝန်းကျင်အတွင်း အထီးကျန်
ယေဘူယျနားလည်သဘောပေါက်ရန်အတွက် Calico အမှတ်အသားရှိ ကွန်ရက်မူဝါဒများသည် စံသတ်မှတ်ချက်များနှင့် မည်သို့ကွာခြားကြောင်းနှင့် စည်းမျဉ်းများဖန်တီးရာတွင် ချဉ်းကပ်ပုံသည် ၎င်းတို့၏ဖတ်ရှုနိုင်မှုနှင့် ဖွဲ့စည်းမှုပုံစံပြောင်းလွယ်ပြင်လွယ်ကို မည်သို့ရိုးရှင်းလွယ်ကူစေကြောင်း နားလည်ရန် ရိုးရှင်းသောကိစ္စရပ်ကို ကြည့်ကြပါစို့။
အစုအဝေးတွင် အသုံးပြုထားသော ဝဘ်အက်ပလီကေးရှင်း ၂ ခုရှိသည်- Node.js နှင့် PHP တွင်၊ တစ်ခုမှာ Redis ကိုအသုံးပြုသည်။ PHP မှ Redis သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ရန် Node.js နှင့် ချိတ်ဆက်မှုကို ထိန်းသိမ်းထားစဉ်၊ အောက်ပါ မူဝါဒကို ကျင့်သုံးရုံသာ။
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: allow-redis-nodejs
spec:
podSelector:
matchLabels:
service: redis
ingress:
- from:
- podSelector:
matchLabels:
service: nodejs
ports:
- protocol: TCP
port: 6379
အခြေခံအားဖြင့် ကျွန်ုပ်တို့သည် Node.js မှ Redis ဆိပ်ကမ်းသို့ အဝင်အသွားအလာကို ခွင့်ပြုထားသည်။ ပြီးတော့ သူတို့က တခြားဘာကိုမှ တားမြစ်တာ မဟုတ်ဘူးဆိုတာ ရှင်းပါတယ်။ NetworkPolicy ပေါ်လာသည်နှင့်တပြိုင်နက်၊ ၎င်းတွင်ဖော်ပြထားသော ရွေးချယ်မှုအားလုံးကို အခြားနည်းဖြင့် မသတ်မှတ်ပါက သီးခြားခွဲထုတ်သွားပါမည်။ သို့သော်၊ သီးခြားခွဲထုတ်ခြင်းစည်းမျဉ်းများသည် ရွေးချယ်သူမှ မဖုံးလွှမ်းထားသော အခြားအရာများနှင့် သက်ဆိုင်ခြင်းမရှိပါ။
ဥပမာကိုအသုံးပြုသည်။ apiVersion
Kubernetes သည် သေတ္တာထဲတွင် ရှိနေသော်လည်း မည်သည့်အရာကမှ သင့်ကို အသုံးမပြုအောင် တားဆီးထားသည်။
apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
name: allow-redis-nodejs
spec:
selector: service == 'redis'
ingress:
- action: Allow
protocol: TCP
source:
selector: service == 'nodejs'
destination:
ports:
- 6379
ပုံမှန် NetworkPolicy API မှတဆင့် အသွားအလာအားလုံးကို ခွင့်ပြုခြင်း သို့မဟုတ် ငြင်းပယ်ခြင်းအတွက် အထက်ဖော်ပြပါ တည်ဆောက်မှုများတွင် နားလည်ရန်နှင့် မှတ်မိရန်ခက်ခဲသော ကွင်းစဥ်များပါရှိသည်။ Calico ၏ဖြစ်ရပ်တွင်၊ firewall စည်းမျဉ်း၏ယုတ္တိကိုဆန့်ကျင်ဘက်သို့ပြောင်းရန်၊ ပြောင်းရုံသာဖြစ်သည်။ action: Allow
အပေါ် action: Deny
.
ပတ်ဝန်းကျင်က အထီးကျန်
ယခု Prometheus တွင် စုဆောင်းခြင်းအတွက် လုပ်ငန်းမက်ထရစ်များကို အပလီကေးရှင်းတစ်ခုမှထုတ်ပေးသည့် အခြေအနေနှင့် Grafana ကိုအသုံးပြု၍ နောက်ထပ်ခွဲခြမ်းစိတ်ဖြာမှုကို စိတ်ကူးကြည့်ပါ။ အပ်လုဒ်တွင် အထိခိုက်မခံသောဒေတာ ပါဝင်နိုင်သည်၊ ၎င်းကို မူရင်းအတိုင်း အများသူငှာကြည့်ရှုနိုင်ပြန်သည်။ ဒီဒေတာကို မျက်စိမှိတ်ဝှက်ထားလိုက်ရအောင်။
စည်းကမ်းအနေဖြင့် Prometheus ကို သီးခြားဝန်ဆောင်မှုပတ်ဝန်းကျင်တွင် ထားရှိသည် - ဥပမာတွင် ၎င်းသည် ဤကဲ့သို့သော namespace ဖြစ်လိမ့်မည်။
apiVersion: v1
kind: Namespace
metadata:
labels:
module: prometheus
name: kube-prometheus
လယ်ယာ metadata.labels
ဒါက မတော်တဆမှု မဟုတ်ဘူး။ အထက်ဖော်ပြပါအတိုင်း၊ namespaceSelector
(လည်းပဲ podSelector
) တံဆိပ်များဖြင့် လုပ်ဆောင်သည်။ ထို့ကြောင့်၊ သတ်မှတ်ထားသော port တစ်ခုရှိ pods များအားလုံးမှ မက်ထရစ်များကို ထုတ်ယူခွင့်ပြုရန်၊ သင်သည် အညွှန်းအမျိုးအစားအချို့ကို ပေါင်းထည့်ရမည်ဖြစ်ပြီး (သို့မဟုတ် ရှိပြီးသားအရာများထံမှယူပါ)၊ ထို့နောက် ကဲ့သို့သော configuration ကိုအသုံးပြုရန်-
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-metrics-prom
spec:
podSelector: {}
ingress:
- from:
- namespaceSelector:
matchLabels:
module: prometheus
ports:
- protocol: TCP
port: 9100
Calico မူဝါဒများကို သင်အသုံးပြုပါက၊ syntax သည် ဤကဲ့သို့ဖြစ်လိမ့်မည်-
apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
name: allow-metrics-prom
spec:
ingress:
- action: Allow
protocol: TCP
source:
namespaceSelector: module == 'prometheus'
destination:
ports:
- 9100
ယေဘုယျအားဖြင့်၊ သီးခြားလိုအပ်ချက်များအတွက် ဤမူဝါဒအမျိုးအစားများကို ထည့်သွင်းခြင်းဖြင့်၊ အစုအဖွဲ့အတွင်းရှိ အပလီကေးရှင်းများ၏ လုပ်ဆောင်မှုတွင် အန္တရာယ်ရှိသော သို့မဟုတ် မတော်တဆ ဝင်ရောက်စွက်ဖက်ခြင်းမှ ကာကွယ်နိုင်ပါသည်။
Calico ၏ဖန်တီးသူများ၏အဆိုအရ အကောင်းဆုံးအလေ့အကျင့်မှာ “အရာရာကိုပိတ်ဆို့ပြီး သင်လိုအပ်သောအရာကို ပြတ်သားစွာဖွင့်ဆိုခြင်းဖြစ်သည်” ချဉ်းကပ်နည်းကို မှတ်တမ်းတင်ထားသည်။
Additional Calico Objects ကို အသုံးပြုခြင်း။
Calico APIs ၏ တိုးချဲ့ထားသော set မှတဆင့် pods များသာ အကန့်အသတ်မရှိ၊ node များရရှိနိုင်မှုကို ထိန်းညှိပေးနိုင်ကြောင်း သတိပေးပါရစေ။ အောက်ဖော်ပြပါ ဥပမာတွင် အသုံးပြုသည်။ GlobalNetworkPolicy
အစုအဝေးရှိ ICMP တောင်းဆိုမှုများကို ကျော်ဖြတ်နိုင်မှုအား ပိတ်ထားသည် (ဥပမာ၊ ပေါ့ဒ်တစ်ခုမှ node တစ်ခု၊ pods များကြား သို့မဟုတ် node မှ IP pod သို့ pings)
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
name: block-icmp
spec:
order: 200
selector: all()
types:
- Ingress
- Egress
ingress:
- action: Deny
protocol: ICMP
egress:
- action: Deny
protocol: ICMP
အထက်ဖော်ပြပါကိစ္စရပ်တွင်၊ ICMP မှတစ်ဆင့် အစုအဝေးများအချင်းချင်း “ရောက်ရှိ” ရန် ဖြစ်နိုင်သေးသည်။ ပြီးတော့ ဒီပြဿနာကို နည်းလမ်းနဲ့ ဖြေရှင်းတယ်။ GlobalNetworkPolicy
၊ အဖွဲ့အစည်းတစ်ခုသို့ အသုံးချခဲ့သည်။ HostEndpoint
:
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
name: deny-icmp-kube-02
spec:
selector: "role == 'k8s-node'"
order: 0
ingress:
- action: Allow
protocol: ICMP
egress:
- action: Allow
protocol: ICMP
---
apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
name: kube-02-eth0
labels:
role: k8s-node
spec:
interfaceName: eth0
node: kube-02
expectedIPs: ["192.168.2.2"]
VPN Case
နောက်ဆုံးအနေနဲ့၊ စံသတ်မှတ်ထားတဲ့ မူဝါဒတွေ မလုံလောက်တဲ့အခါ၊ အနီးအနားက အစုအဝေး အပြန်အလှန် ဆက်သွယ်မှုကိစ္စအတွက် Calico လုပ်ဆောင်ချက်တွေကို အသုံးပြုတဲ့ တကယ့်ဥပမာကို ပြောပြမယ်။ ဖောက်သည်များသည် ဝဘ်အပလီကေးရှင်းကို ဝင်ရောက်ရန် VPN ဥမင်လိုဏ်ခေါင်းကို အသုံးပြုကာ၊ ဤဝင်ရောက်ခွင့်ကို တင်းတင်းကျပ်ကျပ် ထိန်းချုပ်ထားပြီး အသုံးပြုရန် ခွင့်ပြုထားသော ဝန်ဆောင်မှုစာရင်းတစ်ခုတွင် ကန့်သတ်ထားသည်-
ဖောက်သည်များသည် စံ UDP အပေါက် 1194 မှတစ်ဆင့် VPN သို့ ချိတ်ဆက်ပြီး၊ ချိတ်ဆက်သည့်အခါ၊ pods နှင့် ဝန်ဆောင်မှုများ၏ အစုအဖွဲ့ခွဲများသို့ လမ်းကြောင်းများ လက်ခံရယူပါ။ ပြန်လည်စတင်ခြင်းနှင့် လိပ်စာပြောင်းလဲမှုများအတွင်း ဝန်ဆောင်မှုများ မဆုံးရှုံးစေရန်အတွက် ကွန်ရက်ခွဲတစ်ခုလုံးကို တွန်းပို့ပါသည်။
ဖွဲ့စည်းမှုစနစ်ရှိ ဆိပ်ကမ်းသည် စံဖြစ်ပြီး၊ ၎င်းသည် အပလီကေးရှင်းကို ပြင်ဆင်သတ်မှတ်ခြင်းနှင့် Kubernetes အစုအဝေးသို့ လွှဲပြောင်းခြင်းလုပ်ငန်းစဉ်တွင် ကွဲလွဲချက်အချို့ကို ချမှတ်ပေးသည်။ ဥပမာအားဖြင့်၊ UDP အတွက် တူညီသော AWS LoadBalancer သည် ယမန်နှစ်အကုန်တွင် ဒေသများ၏ ကန့်သတ်စာရင်းတွင် စာသားအတိုင်းပေါ်လာပြီး NodePort သည် ၎င်း၏အစုအဝေးများအားလုံးသို့ ထပ်ဆင့်ပေးပို့ခြင်းကြောင့် အသုံးပြု၍မရသည့်အပြင် ဆာဗာအတွက် ဖြစ်ရပ်အရေအတွက်ကို တိုင်းတာရန် မဖြစ်နိုင်ပေ။ အမှားခံနိုင်ရည်ရှိခြင်း ရည်ရွယ်ချက်များ။ ထို့အပြင်၊ သင်သည် ports များ၏ပုံမှန်အကွာအဝေးကိုပြောင်းလဲရလိမ့်မည်...
ဖြစ်နိုင်ချေရှိသော ဖြေရှင်းနည်းများကို ရှာဖွေခြင်း၏ရလဒ်အနေဖြင့် အောက်ပါတို့ကို ရွေးချယ်ခဲ့ပါသည်။
- VPN ပါသော Pods များကို node တစ်ခုစီတွင် စီစဉ်ထားသည်။
hostNetwork
ဆိုလိုတာက တကယ့် IP ပါ။ - ဝန်ဆောင်မှုကို အပြင်မှာတင်ထားတယ်။
ClusterIP
. အသေးစားကြိုတင်မှာယူမှုများဖြင့် ပြင်ပမှဝင်ရောက်နိုင်သည် (အမှန်တကယ် IP လိပ်စာတစ်ခု၏ အခြေအနေအရ ရှိနေခြင်း) ဖြင့် ဝင်ရောက်နိုင်သော ဆိပ်ကမ်းတစ်ခုအား node တွင် ရုပ်ပိုင်းဆိုင်ရာထည့်သွင်းထားသည်။ - pod rose ပေါ်သည့် node ကို သတ်မှတ်ခြင်းသည် ကျွန်ုပ်တို့၏ဇာတ်လမ်း၏ နယ်ပယ်ထက်ကျော်လွန်ပါသည်။ ဝန်ဆောင်မှုကို node တစ်ခုတွင် တင်းတင်းကျပ်ကျပ် ရေးနိုင်သည် သို့မဟုတ် VPN ဝန်ဆောင်မှု၏ လက်ရှိ IP လိပ်စာကို စောင့်ကြည့်ပြီး ဖောက်သည်များနှင့် မှတ်ပုံတင်ထားသော DNS မှတ်တမ်းများကို တည်းဖြတ်နိုင်သည် - စိတ်ကူးစိတ်သန်းရှိသူတိုင်း လုံလောက်သော စိတ်ကူးစိတ်သန်းရှိသူတိုင်း ဝန်ဆောင်မှုကို node တစ်ခုတွင် တင်းတင်းကျပ်ကျပ် ရေးနိုင်သည်ဟုသာ ကျွန်ုပ်ပြောပါမည်။
လမ်းကြောင်းလမ်းကြောင်း ရှုထောင့်မှနေ၍ VPN ဆာဗာမှ ထုတ်ပေးသော ၎င်း၏ IP လိပ်စာဖြင့် VPN သုံးစွဲသူကို ထူးခြားစွာ ခွဲခြားနိုင်ပါသည်။ အထက်ဖော်ပြပါ Redis တွင် ဖော်ပြထားသည့် ဤဖောက်သည်တစ်ဦး၏ ဝန်ဆောင်မှုများသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ခြင်း၏ မူလဥပမာတစ်ခုဖြစ်သည်။
apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
name: vpnclient-eth0
labels:
role: vpnclient
environment: production
spec:
interfaceName: "*"
node: kube-02
expectedIPs: ["172.176.176.2"]
---
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
name: vpn-rules
spec:
selector: "role == 'vpnclient'"
order: 0
applyOnForward: true
preDNAT: true
ingress:
- action: Deny
protocol: TCP
destination:
ports: [6379]
- action: Allow
protocol: UDP
destination:
ports: [53, 67]
ဤတွင်၊ ဆိပ်ကမ်း 6379 သို့ချိတ်ဆက်ခြင်းကို တင်းတင်းကျပ်ကျပ်တားမြစ်ထားသော်လည်း တစ်ချိန်တည်းတွင် DNS ဝန်ဆောင်မှု၏လုပ်ဆောင်ချက်ကို ထိန်းသိမ်းထားပြီး စည်းမျဉ်းများရေးဆွဲသည့်အခါ မကြာခဏဆိုသလို ကြုံတွေ့ရသည့်လုပ်ဆောင်ချက်ကို ထိန်းသိမ်းထားသည်။ အဘယ်ကြောင့်ဆိုသော် ယခင်ဖော်ပြခဲ့သည့်အတိုင်း၊ ရွေးချယ်မှုတစ်ခု ပေါ်လာသောအခါ၊ အခြားနည်းဖြင့် မသတ်မှတ်ထားဘဲ ၎င်းတွင် ပုံသေငြင်းဆိုမှုမူဝါဒကို အသုံးပြုထားသည်။
ရလဒ်များကို
ထို့ကြောင့် Calico ၏အဆင့်မြင့် API ကိုအသုံးပြုခြင်းဖြင့်၊ သင်သည် အစုအဝေးအတွင်းနှင့်တစ်ဝိုက်ရှိ လမ်းကြောင်းလမ်းကြောင်းကို လိုက်လျောညီထွေဖြစ်အောင် ပြင်ဆင်သတ်မှတ်နိုင်ပြီး ဒိုင်းနမစ်ပုံစံပြောင်းလဲနိုင်သည်။ ယေဘူယျအားဖြင့်၊ ၎င်း၏အသုံးပြုမှုသည် အမြောက်များဖြင့် စာငှက်များကို ပစ်သတ်ခြင်းကဲ့သို့ဖြစ်နိုင်ပြီး BGP နှင့် IP-IP ဥမင်လိုဏ်ခေါင်းများပါရှိသော L3 ကွန်ရက်ကို အကောင်အထည်ဖော်ရာတွင် ရိုးရှင်းသော Kubernetes တပ်ဆင်မှုတွင် ဆိုးရွားလှသည်... သို့သော်၊ သို့မဟုတ်ပါက အဆိုပါကိရိယာသည် အလွန်အသုံးဝင်ပြီး အသုံးဝင်ပုံရသည်။ .
လုံခြုံရေးလိုအပ်ချက်များပြည့်မီရန် အစုအဝေးတစ်ခုကို သီးခြားခွဲထုတ်ခြင်းသည် အမြဲတမ်းမဖြစ်နိုင်ပေ၊ ဤနေရာတွင် Calico (သို့မဟုတ် အလားတူဖြေရှင်းချက်) ရောက်ရှိလာပါသည်။ ဤဆောင်းပါးတွင်ဖော်ပြထားသောဥပမာများကို (အသေးအဖွဲပြုပြင်မွမ်းမံမှုများနှင့်အတူ) ကို AWS ရှိကျွန်ုပ်တို့၏ clients များတပ်ဆင်မှုအများအပြားတွင်အသုံးပြုသည်။
PS
ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ
- «
လုံခြုံရေးကျွမ်းကျင်သူများအတွက် Kubernetes ကွန်ရက်မူဝါဒများကို မိတ်ဆက်ခြင်း။ "; - " Kubernetes တွင် ကွန်ရက်ချိတ်ဆက်ခြင်းဆိုင်ရာ ရုပ်ပြလမ်းညွှန်"-
အပိုင်း ၁ နှင့် ၂ (ကွန်ရက်ပုံစံ၊ ထပ်ဆင့်ကွန်ရက်များ) ,အပိုင်း 3 (ဝန်ဆောင်မှုများနှင့် ယာဉ်အသွားအလာ လုပ်ဆောင်ခြင်း) ; - «
Container Networking Interface (CNI) - Linux ကွန်တိန်နာများအတွက် ကွန်ရက်ချိတ်ဆက်မှု နှင့် စံနှုန်း "။
source: www.habr.com