Calico ဖြင့် Network Policy Enforcement Options ကို နားလည်ခြင်း။

Calico ကွန်ရက်ပလပ်အင်သည် ဟာ့ဒ်ဝဲလက်ခံဆောင်ရွက်ပေးသူများ၊ ပကတိစက်များနှင့် pods များကို ကာကွယ်ရန်အတွက် ကျယ်ပြန့်သောကွန်ရက်မူဝါဒများကို စုစည်းထားသော အထားအသိုတစ်ခုဖြင့် ပံ့ပိုးပေးပါသည်။ ဤမူဝါဒများကို namespace တစ်ခုအတွင်းတွင် အသုံးချနိုင်သည် သို့မဟုတ် ၎င်းနှင့်သက်ဆိုင်သည့် ကမ္ဘာလုံးဆိုင်ရာကွန်ရက်မူဝါဒများ ဖြစ်လာနိုင်သည်။ host အဆုံးမှတ် (အိမ်ရှင်ပေါ်တွင်တိုက်ရိုက်လည်ပတ်နေသော application များကိုကာကွယ်ရန် - host သည် server သို့မဟုတ် virtual machine ဖြစ်နိုင်သည်) သို့မဟုတ် အလုပ်ဝန်မှတ် (ကွန်တိန်နာများအတွင်း သို့မဟုတ် လက်ခံထားသော virtual machines များတွင် လုပ်ဆောင်နေသည့် application များကို ကာကွယ်ရန်) Calico မူဝါဒများသည် သင့်အား preDNAT၊ unracked နှင့် applyOnForward ကဲ့သို့သော ရွေးချယ်မှုများကို အသုံးပြုကာ packet လမ်းကြောင်းရှိ အမှတ်အမျိုးမျိုးတွင် လုံခြုံရေးအစီအမံများကို ကျင့်သုံးခွင့်ပြုသည်။ ဤရွေးချယ်စရာများ မည်သို့အလုပ်လုပ်သည်ကို နားလည်ခြင်းက သင့်စနစ်တစ်ခုလုံး၏ လုံခြုံရေးနှင့် စွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးနိုင်ပါသည်။ ဤဆောင်းပါးတွင် ဤ Calico မူဝါဒရွေးချယ်စရာများ (preDNAT၊ unracked နှင့် applyOnForward) သည် packet processing လမ်းကြောင်းများ (iptabels ကွင်းဆက်များ) တွင် ဖြစ်ပျက်နေသောအရာများကို အလေးပေးခြင်းဖြင့် လက်ခံဆောင်ရွက်ပေးသည့် endpoints များအတွက် အသုံးပြုထားသည့်အရာများကို ရှင်းပြထားသည်။

ဤဆောင်းပါးတွင် Kubernetes နှင့် Calico ကွန်ရက်မူဝါဒများ မည်သို့အလုပ်လုပ်ပုံ အခြေခံနားလည်မှုရှိသည်ဟု ယူဆပါသည်။ မဟုတ်ပါက စမ်းသုံးကြည့်ရန် အကြံပြုအပ်ပါသည်။ အခြေခံကွန်ရက်မူဝါဒ သင်ခန်းစာ и အိမ်ရှင်ကာကွယ်မှုသင်ခန်းစာ ဤဆောင်းပါးကိုမဖတ်မီ Calico ကိုအသုံးပြုပါ။ အလုပ်နှင့်ပတ်သက်သော အခြေခံနားလည်မှုရှိရန်လည်း ကျွန်ုပ်တို့ မျှော်လင့်ပါသည်။ iptables Linux တွင်

Calico ကမ္ဘာလုံးဆိုင်ရာကွန်ရက်မူဝါဒ အညွှန်းများဖြင့် ဝင်ရောက်အသုံးပြုခွင့် စည်းမျဉ်းအစုအဝေး (အိမ်ရှင်အုပ်စုများနှင့် အလုပ်တာဝန်များ/ pods များ) ကို အသုံးပြုခွင့်ပေးသည်။ ကွဲပြားသော စနစ်များ - virtual machines၊ ဟာ့ဒ်ဝဲတွင် တိုက်ရိုက်စနစ် သို့မဟုတ် kubernetes အခြေခံအဆောက်အအုံကို အတူတကွအသုံးပြုပါက ၎င်းသည် အလွန်အသုံးဝင်ပါသည်။ ထို့အပြင်၊ သင်သည် သင်၏အစုအဝေး (node) များကို ကြေငြာခြင်းဆိုင်ရာ မူဝါဒများကို အသုံးပြုကာ ကာကွယ်နိုင်ပြီး အဝင်အထွက်လမ်းကြောင်း (ဥပမာ၊ NodePorts သို့မဟုတ် ပြင်ပ IPs ဝန်ဆောင်မှုမှတဆင့်) ကွန်ရက်မူဝါဒများကို အသုံးပြုနိုင်သည်။

အခြေခံအဆင့်တွင် Calico သည် pod တစ်ခုအား ကွန်ရက်သို့ ချိတ်ဆက်သောအခါ (အောက်ဖော်ပြပါ ပုံတွင်ကြည့်ပါ)၊ ၎င်းသည် virtual Ethernet interface (veth) ကို အသုံးပြု၍ host သို့ ချိတ်ဆက်ပေးပါသည်။ pod မှပေးပို့သောအသွားအလာသည် ဤ virtual interface မှ host သို့ရောက်လာပြီး ၎င်းသည် physical network interface မှလာသကဲ့သို့ အလားတူလုပ်ဆောင်သည်။ မူရင်းအားဖြင့် Calico သည် ဤအင်တာဖေ့စ်များကို caliXXX ဟု အမည်ပေးသည်။ အသွားအလာသည် virtual interface မှတဆင့်လာသောကြောင့် pod သည်တစ်ပြေးတည်းသွားသကဲ့သို့ iptables မှတဆင့်သွားပါသည်။ ထို့ကြောင့်၊ pod တစ်ခုသို့ အသွားအလာ လာသောအခါ၊ ၎င်းကို လက်ခံသူ၏ အမြင်မှ တစ်ဆင့် ပေးပို့သည်။

Calico လည်ပတ်သည့် Kubernetes node တွင်၊ သင်သည် အလုပ်တာဝန်တစ်ခုသို့ virtual interface (veth) ကို အောက်ပါအတိုင်း မြေပုံဆွဲနိုင်ပါသည်။ အောက်ပါဥပမာတွင်၊ veth#10 (calic1cbf1ca0f8) ကို calico-monitoring namespace တွင် cnx-manager-* နှင့် ချိတ်ဆက်ထားသည်ကို သင်တွေ့မြင်နိုင်ပါသည်။

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

Calico သည် အလုပ်တာဝန်တစ်ခုစီအတွက် veth interface ကို ဖန်တီးပေးသောကြောင့်၊ ၎င်းသည် မူဝါဒများကို မည်သို့ကျင့်သုံးသနည်း။ ဒါကိုလုပ်ဖို့ Calico က iptables ကိုသုံးပြီး packet processing path ရဲ့ အမျိုးမျိုးသော ချိတ်တွေကို ဖန်တီးပေးပါတယ်။

အောက်ဖော်ပြပါ ပုံသည် iptables (သို့မဟုတ် netfilter စနစ်ခွဲ) တွင် packet processing တွင်ပါ၀င်သော ကွင်းဆက်များကို ပြသထားသည်။ ပက်ကေ့ခ်ျတစ်ခုသည် ကွန်ရက်အင်တာဖေ့စ်မှတဆင့် ရောက်ရှိသောအခါ၊ ၎င်းသည် ပထမဦးစွာ ကြိုတင်လုပ်ဆောင်ခြင်းကွင်းဆက်မှတဆင့် သွားပါသည်။ လမ်းကြောင်းသတ်မှတ်ခြင်းဆိုင်ရာ ဆုံးဖြတ်ချက်တစ်ခုကို ချမှတ်ပြီး ယင်းအပေါ် အခြေခံ၍ ပက်ကတ်သည် INPUT (လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်များဆီသို့ ညွှန်ကြားသည်) သို့မဟုတ် FORWARD (ကွန်ရက်ပေါ်ရှိ pod တစ်ခု သို့မဟုတ် အခြား node တစ်ခုဆီသို့ ညွှန်ကြားသည်) ကိုဖြတ်သန်းသွားပါသည်။ စက်တွင်းလုပ်ငန်းစဉ်မှ၊ ပက်ကတ်သည် OUTPUT မှတစ်ဆင့် ကြိုးကိုမလွှတ်မီတွင် ပို့ခြင်းကွင်းဆက်ကို ဖြတ်သန်းသွားမည်ဖြစ်သည်။

pod သည် iptables လုပ်ဆောင်ခြင်းဆိုင်ရာ စည်းကမ်းချက်များအရ pod သည် ပြင်ပအကြောင်းအရာ (veth နှင့် ချိတ်ဆက်ထားသည်) လည်းဖြစ်သည်။ အကျဉ်းချုံးကြပါစို့။

• ထပ်ဆင့်ပို့သောလမ်းကြောင်း (နတ်၊ လမ်းကြောင်း သို့မဟုတ် ဘူးတစ်ခုသို့) သည် ကြိုတင်ပြင်ဆင်ခြင်း - ရှေ့သို့ - ပို့စ်တင်ခြင်း ကွင်းဆက်များမှတဆင့် ဖြတ်သန်းသွားပါသည်။
• ဒေသတွင်း လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်သို့ အသွားအလာသည် PREROUTING - ထည့်သွင်းမှု ကွင်းဆက်မှတဆင့် ဖြတ်သန်းသွားပါသည်။
• ဒေသတွင်း လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်မှ အသွားအလာများသည် OUTPUT - POSTROUTING ကွင်းဆက်မှတဆင့် ဖြတ်သန်းသွားပါသည်။

Calico သည် ကွင်းဆက်အားလုံးတွင် မူဝါဒများကို ကျင့်သုံးခွင့်ပြုသည့် မူဝါဒရွေးချယ်ခွင့်များကို ပေးပါသည်။ အဲဒါကို စိတ်ထဲထားပြီး၊ Calico မှာ ရနိုင်တဲ့ မတူညီတဲ့ မူဝါဒဖွဲ့စည်းပုံရွေးချယ်စရာတွေကို ကြည့်ကြရအောင်။ အောက်ပါရွေးချယ်စရာများစာရင်းရှိ နံပါတ်များသည် အထက်ဖော်ပြပါ ပုံတွင်ရှိသော နံပါတ်များနှင့် ကိုက်ညီပါသည်။

1. Workload endpoint (pod) မူဝါဒ
2. လက်ခံဆောင်ရွက်ပေးသည့် အဆုံးမှတ်မူဝါဒ
3. ApplyOnForward ရွေးချယ်မှု
4. PreDNAT မူဝါဒ
5. ခြေရာခံမထားသော မူဝါဒ

အလုပ်ဝန်အဆုံးမှတ်များ (Kubernetes pods သို့မဟုတ် OpenStack VMs) တွင် မူဝါဒများကို မည်ကဲ့သို့ အသုံးချသည်ကို ကြည့်ခြင်းဖြင့် စတင်ကြပါစို့၊ ထို့နောက် လက်ခံဆောင်ရွက်ပေးသည့် အဆုံးမှတ်များအတွက် မူဝါဒရွေးချယ်မှုများကို ကြည့်ပါ။

Workload Endpoints

Workload Endpoint Policy (၁)၊

၎င်းသည် သင်၏ kubernetes pods များကို ကာကွယ်ရန် ရွေးချယ်မှုတစ်ခုဖြစ်သည်။ Calico သည် Kubernetes NetworkPolicy နှင့် အလုပ်လုပ်ခြင်းကို ပံ့ပိုးပေးသည်၊ သို့သော် ၎င်းသည် နောက်ထပ်မူဝါဒများ - Calico NetworkPolicy နှင့် GlobalNetworkPolicy ကိုလည်း ပံ့ပိုးပေးပါသည်။ Calico သည် FORWARD ကွင်းဆက်၏ စစ်ထုတ်မှုဇယားအတွက် အလုပ်ဝန်အတွက် INPUT နှင့် OUTPUT ကွင်းဆက်များတွင် ချိတ်တစ်ခုစီကို ဖန်တီးသည်။

လက်ခံသူ အဆုံးမှတ်များ

လက်ခံဆောင်ရွက်ပေးသူ အဆုံးမှတ်မူဝါဒ (၂)

CNI (container network interface) အပြင် Calico မူဝါဒများသည် host ကိုယ်တိုင်ကို ကာကွယ်နိုင်စွမ်း ပေးပါသည်။ Calico တွင်၊ လက်ခံဆောင်ရွက်ပေးသူ အင်တာဖေ့စ်နှင့် လိုအပ်ပါက ပို့တ်နံပါတ်များကို ပေါင်းစပ်သတ်မှတ်ခြင်းဖြင့် လက်ခံဆောင်ရွက်ပေးသည့် အဆုံးမှတ်ကို ဖန်တီးနိုင်သည်။ INPUT နှင့် OUTPUT ကွင်းဆက်များရှိ စစ်ထုတ်မှုဇယားကို အသုံးပြု၍ ဤအဖွဲ့အစည်းအတွက် မူဝါဒဆိုင်ရာ ပြဋ္ဌာန်းချက်ကို အောင်မြင်ပါသည်။ ပုံတွင်မြင်ရသည့်အတိုင်း၊ (၂) ၎င်းတို့သည် node/host ပေါ်ရှိ ဒေသန္တရ လုပ်ငန်းစဉ်များနှင့် သက်ဆိုင်ပါသည်။ ဆိုလိုသည်မှာ၊ အကယ်၍ သင်သည် လက်ခံဆောင်ရွက်ပေးသူ အဆုံးမှတ်ကို သက်ဆိုင်သည့် မူဝါဒတစ်ခုကို ဖန်တီးပါက၊ ၎င်းသည် သင်၏ pods များဆီသို့ သွား/လာမည့် အသွားအလာကို ထိခိုက်မည်မဟုတ်ပါ။ သို့သော် Calico မူဝါဒများကို အသုံးပြု၍ သင်၏ host နှင့် pods များအတွက် traffic ကိုပိတ်ဆို့ရန်အတွက် single interface/syntax ကိုပေးပါသည်။ ၎င်းသည် ကွဲပြားသောကွန်ရက်တစ်ခုအတွက် မူဝါဒများကို စီမံခန့်ခွဲခြင်းလုပ်ငန်းစဉ်ကို များစွာရိုးရှင်းစေသည်။ အစုအဖွဲ့လုံခြုံရေးကို တိုးမြှင့်ရန် လက်ခံဆောင်ရွက်ပေးသူ အဆုံးမှတ်မူဝါဒများကို ပြင်ဆင်သတ်မှတ်ခြင်းသည် အခြားအရေးကြီးသော အသုံးပြုမှုကိစ္စဖြစ်သည်။

OnForward မူဝါဒ (၃) ချက်ကို ကျင့်သုံးခြင်း၊

လက်ခံသူမှ တစ်ဆင့်ပို့မည့် အသွားအလာ အပါအဝင် လက်ခံဆောင်ရွက်ပေးသူ အဆုံးမှတ်ကို ဖြတ်သန်းသွားသော အသွားအလာအားလုံးကို ခွင့်ပြုရန် ApplyOnForward ရွေးချယ်မှုကို Calico ကမ္ဘာလုံးဆိုင်ရာ ကွန်ရက်မူဝါဒတွင် ရနိုင်ပါသည်။ ၎င်းတွင် local pod သို့ ထပ်ဆင့်ပို့သော လမ်းကြောင်းများ ပါဝင်သည်။ Calico သည် PreDNAT ကို အသုံးပြု၍ မူဝါဒများအတွက် ဤဆက်တင်ကို ဖွင့်ထားရန် လိုအပ်ပြီး ခြေရာခံမထားသော၊ အောက်ပါကဏ္ဍများကို ကြည့်ပါ။ ထို့အပြင်၊ ApplyOnForward ကို virtual router သို့မဟုတ် software NAT ကိုအသုံးပြုသည့်ကိစ္စများတွင် host traffic ကိုစောင့်ကြည့်ရန်အသုံးပြုနိုင်ပါသည်။

အကယ်၍ သင်သည် တူညီသောကွန်ရက်မူဝါဒကို လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်များနှင့် pods နှစ်ခုစလုံးတွင် ကျင့်သုံးရန် လိုအပ်ပါက၊ သင်သည် ApplyOnForward ရွေးချယ်မှုကို အသုံးပြုရန် မလိုအပ်ကြောင်း သတိပြုပါ။ သင်လုပ်ရန် လိုအပ်သည်မှာ လိုအပ်သော hostendpoint နှင့် workload endpoint (pod) အတွက် အညွှန်းတစ်ခု ဖန်တီးပါ။ Calico သည် အဆုံးမှတ်အမျိုးအစား ( hostendpoint သို့မဟုတ် workload ) မသက်ဆိုင်ဘဲ အညွှန်းများပေါ်တွင် အခြေခံ၍ မူဝါဒကို ကျင့်သုံးရန် လုံလောက်သော စမတ်ဖြစ်သည်။

PreDNAT မူဝါဒ (၄)၊

Kubernetes တွင်၊ NodePorts ရွေးချယ်မှုကို အသုံးပြု၍ ဝန်ဆောင်မှုဆိုင်ရာ ဆိပ်ကမ်းများကို ပြင်ပတွင် ဖော်ထုတ်နိုင်သည် သို့မဟုတ် (Calico ကို အသုံးပြုသည့်အခါ) ၎င်းတို့အား Cluster IPs သို့မဟုတ် ပြင်ပ IP ရွေးချယ်စရာများကို အသုံးပြု၍ ကြော်ငြာခြင်းဖြင့် ၎င်းတို့ကို ပြင်ပတွင် ထုတ်ဖော်နိုင်ပါသည်။ Kube-proxy သည် DNAT ကို အသုံးပြု၍ သက်ဆိုင်ရာဝန်ဆောင်မှု၏ pods များသို့ အဝင်အသွားအလာကို ချိန်ခွင်လျှာညှိပေးသည်။ ဤအချက်ကြောင့်၊ NodePorts မှတဆင့် သွားလာမှုဆိုင်ရာ မူဝါဒများကို သင်မည်ကဲ့သို့ ကျင့်သုံးမည်နည်း။ အသွားအလာကို DNAT က မလုပ်ဆောင်မီ ဤမူဝါဒများကို ကျင့်သုံးကြောင်း သေချာစေရန် (အိမ်ရှင်-ဆိပ်ကမ်းနှင့် ဆက်စပ်ဝန်ဆောင်မှုကြားတွင် မြေပုံဆွဲခြင်းဖြစ်သည်)၊ Calico သည် "preDNAT: true" ဟုခေါ်သော globalNetworkPolicy အတွက် ကန့်သတ်ချက်တစ်ခုကို ပံ့ပိုးပေးပါသည်။

DNAT ကိုကြိုတင်ဖွင့်ထားသောအခါ၊ ဤမူဝါဒများကို DNAT မတိုင်မီချက်ချင်းလုပ်ဆောင်သည် - PREROUTING ကွင်းဆက်၏ mangle ဇယားရှိ ပုံ (၄) တွင် ဤမူဝါဒများကို အကောင်အထည်ဖော်ပါသည်။ ဤမူဝါဒများကို ကျင့်သုံးခြင်းသည် ယာဉ်ကြောပိတ်ဆို့မှု လုပ်ငန်းစဉ်တွင် များစွာစောသောကြောင့် ဤတွင် ပုံမှန်မူဝါဒများ၏ အစီအစဥ်ကို မလိုက်နာပါ။ သို့သော်၊ preDNAT မူဝါဒများသည် ၎င်းတို့အချင်းချင်း လျှောက်ထားမှုအစီအစဥ်ကို လေးစားပါသည်။

ကြိုတင် DNAT ဖြင့် မူဝါဒများဖန်တီးသောအခါ၊ သင်လုပ်ဆောင်လိုသော အသွားအလာနှင့်ပတ်သက်၍ ဂရုပြုရန်နှင့် အများစုကို ငြင်းပယ်ခြင်းကို ခွင့်ပြုရန် အရေးကြီးပါသည်။ DNAT အကြိုမူဝါဒတွင် 'ခွင့်ပြု' ဟု အမှတ်အသားပြုထားသည့် ယာဉ်အသွားအလာကို လက်ခံမှတ်မှတ်မူဝါဒဖြင့် စစ်ဆေးမည်မဟုတ်တော့ဘဲ၊ DNAT အကြိုမူဝါဒကို ပျက်ကွက်သော အသွားအလာများသည် ကျန်ရှိသည့် ကွင်းဆက်များမှတစ်ဆင့် ဆက်လက်ရှိနေမည်ဖြစ်သည်။
Calico သည် preDNAT ကိုအသုံးပြုသောအခါတွင် applyOnForward option ကိုဖွင့်ရန်မဖြစ်မနေပြုလုပ်ထားသောကြောင့်၊ လမ်းကြောင်း၏ဦးတည်ရာကိုမရွေးချယ်ရသေးသောကြောင့်ဖြစ်သည်။ အသွားအလာကို လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်သို့ ညွှန်ကြားနိုင်သည်၊ သို့မဟုတ် ၎င်းကို pod သို့မဟုတ် အခြား node သို့ ထပ်ဆင့်ပေးပို့နိုင်သည်။

ခြေရာခံမထားသော မူဝါဒ (၅)

ကွန်ရက်များနှင့် အပလီကေးရှင်းများတွင် အပြုအမူ ကွဲပြားမှုများ ရှိနိုင်သည်။ အချို့သော အခြေအနေများတွင်၊ အပလီကေးရှင်းများသည် ခဏတာချိတ်ဆက်မှုများစွာကို ဖန်တီးပေးနိုင်သည်။ ၎င်းသည် conntrack (Linux networking stack ၏ အဓိကအစိတ်အပိုင်းတစ်ခု) မမ်မိုရီကုန်သွားနိုင်သည်။ အစဉ်အလာအားဖြင့်၊ ဤအပလီကေးရှင်းအမျိုးအစားများကို Linux တွင် run ရန်၊ သင်သည် conntrack ကိုကျော်လွှားရန် ကိုယ်တိုင် configure သို့မဟုတ် disable လုပ်ရန် သို့မဟုတ် iptables စည်းမျဉ်းများကို ရေးသားရမည်ဖြစ်သည်။ Calico တွင် ခြေရာခံမထားသော မူဝါဒသည် ချိတ်ဆက်မှုများကို တတ်နိုင်သမျှ မြန်မြန်လုပ်ဆောင်လိုပါက ပိုမိုရိုးရှင်းပြီး ထိရောက်မှုရှိသော ရွေးချယ်မှုတစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့် ထုထည်ကြီးမားလျှင် မှတ်မိ သို့မဟုတ် ဆန့်ကျင်ကာကွယ်မှု၏ အပိုဆောင်းအတိုင်းအတာအဖြစ် DDOS ကို.

ဒါကိုဖတ်ပါ။ ဘလော့ဂ်ပို့စ် (သို့မဟုတ် ကျွန်ုပ်တို့၏ဘာသာပြန်ခြေရာခံမထားသောမူဝါဒကို အသုံးပြု၍ စွမ်းဆောင်ရည်စမ်းသပ်မှုများအပါအဝင် နောက်ထပ်အချက်အလက်များအတွက်။

Calico globalNetworkPolicy တွင် "doNotTrack: true" ရွေးစရာကို သင်သတ်မှတ်သောအခါ၊ ၎င်းသည် **ခြေရာခံမထားသော** မူဝါဒတစ်ခုဖြစ်လာပြီး Linux packet လုပ်ဆောင်ခြင်းပိုက်လိုင်းတွင် အလွန်စောစီးစွာ သက်ရောက်ပါသည်။ အထက်ဖော်ပြပါ ပုံကြမ်းကို ကြည့်ပါ၊ ချိတ်ဆက်မှု ခြေရာခံခြင်း (conntrack) မစတင်မီ အကြမ်းဇယားရှိ ကြိုတင်နှင့် အထွက်ဆွဲကြိုးများတွင် ခြေရာခံမထားသော မူဝါဒများကို ကျင့်သုံးပါသည်။ ခြေရာခံမထားသော မူဝါဒဖြင့် ပက်ကတ်တစ်ခုကို ခွင့်ပြုသောအခါ၊ ၎င်းသည် ထိုပက်ကတ်အတွက် ချိတ်ဆက်မှု ခြေရာခံခြင်းကို ပိတ်ရန် မှတ်သားထားသည်။ ဆိုလိုသည်မှာ-

• ခြေရာခံမထားသော မူဝါဒကို ပက်ကတ်တစ်ခုချင်းစီအလိုက် ကျင့်သုံးပါသည်။ ချိတ်ဆက်မှု (သို့မဟုတ်) စီးဆင်းမှု သဘောတရား မရှိပါ။ ချိတ်ဆက်မှု မရှိခြင်းသည် အရေးကြီးသော အကျိုးဆက်များစွာ ရှိသည်။
• တောင်းဆိုမှုနှင့် တုံ့ပြန်မှုလမ်းကြောင်းနှစ်ခုလုံးကို ခွင့်ပြုလိုပါက၊ အဝင်နှင့်အထွက် နှစ်ခုစလုံးအတွက် စည်းမျဉ်းတစ်ခု လိုအပ်သည် (Calico ပုံမှန်အားဖြင့် ခွင့်ပြုထားသည့်အတိုင်း တုံ့ပြန်မှုလမ်းကြောင်းကို အမှတ်အသားပြုရန် conntrack ကို အသုံးပြုသောကြောင့်)။
• ခြေရာခံမထားသော မူဝါဒသည် Kubernetes အလုပ်များ (pods) အတွက် အလုပ်မဖြစ်သောကြောင့် ဤအခြေအနေတွင် ပေါ့ဒ်မှ ထွက်သွားသော ချိတ်ဆက်မှုကို ခြေရာခံရန် နည်းလမ်းမရှိပါ။
• NAT သည် ခြေရာခံမထားသော ပက်ကေ့ခ်ျများဖြင့် မှန်ကန်စွာ အလုပ်မလုပ်ပါ (kernel သည် NAT mapping ကို conntrack တွင် သိမ်းဆည်းထားသောကြောင့်)။
• ခြေရာခံမထားသော မူဝါဒရှိ "အားလုံးခွင့်ပြုရန်" စည်းမျဉ်းကို ဖြတ်သန်းသည့်အခါ၊ ပက်ကေ့ခ်ျအားလုံးကို ခြေရာခံမထားသည့်အဖြစ် အမှတ်အသားပြုပါမည်။ ၎င်းသည် သင်အလိုရှိသောအရာကို အမြဲတမ်းနီးပါးမဟုတ်ပါ၊ ထို့ကြောင့် ခြေရာခံမထားသောမူဝါဒများမှ ခွင့်ပြုထားသော ပက်ကတ်များနှင့် ပတ်သက်၍ ရွေးချယ်ရန် အရေးကြီးသည် (နှင့် လမ်းကြောင်းအများစုကို ပုံမှန်ခြေရာခံထားသော မူဝါဒများမှတစ်ဆင့် ဖြတ်သန်းခွင့်ပြုပါ)။
• packet processing pipeline ၏အစတွင် ခြေရာခံမထားသောမူဝါဒများကို ကျင့်သုံးပါသည်။ Calico မူဝါဒများကို ဖန်တီးရာတွင် နားလည်ရန် ဤအရာသည် အလွန်အရေးကြီးပါသည်။ သင့်တွင် အမှာစာ-၁ ပါသော pod ပေါ်လစီတစ်ခုနှင့် မှာယူမှု-1 ဖြင့် ခြေရာခံမထားသောမူဝါဒတစ်ခု ရှိနိုင်ပါသည်။ အရေးမကြီးပါဘူး။ pod ၏မူဝါဒရှေ့မှောက်တွင်ခြေရာခံမထားသောမူဝါဒကိုအသုံးပြုလိမ့်မည်။ ခြေရာခံမထားသော မူဝါဒများသည် ကွပ်မျက်ရေးအမိန့်ကို ၎င်းတို့အချင်းချင်းသာ လေးစားကြသည်။

doNotTrack မူဝါဒ၏ ရည်ရွယ်ချက်များထဲမှ တစ်ခုသည် Linux packet processing pipeline တွင် မူဝါဒကို စောစီးစွာ ကျင့်သုံးရန်ဖြစ်ပြီး Calico သည် doNotTrack ကိုအသုံးပြုသောအခါတွင် applyOnForward ရွေးချယ်မှုအား သတ်မှတ်ရန် မဖြစ်မနေ လိုအပ်ပါသည်။ packet processing diagram ကို ရည်ညွှန်းပြီး လမ်းကြောင်းမဆုံးဖြတ်မီ ခြေရာခံမထားသော (၅) မူဝါဒကို ကျင့်သုံးကြောင်း သတိပြုပါ။ အသွားအလာကို လက်ခံဆောင်ရွက်ပေးသည့် လုပ်ငန်းစဉ်သို့ ညွှန်ကြားနိုင်သည်၊ သို့မဟုတ် ၎င်းကို pod သို့မဟုတ် အခြား node သို့ ထပ်ဆင့်ပေးပို့နိုင်သည်။

ရလဒ်များကို

Calico တွင် အမျိုးမျိုးသော မူဝါဒရွေးချယ်စရာများ (Host endpoint၊ ApplyOnForward၊ preDNAT နှင့် Untracked) နှင့် packet processing လမ်းကြောင်းတစ်လျှောက် ၎င်းတို့ကို မည်သို့အသုံးချကြသည်ကို ကျွန်ုပ်တို့ ကြည့်ရှုခဲ့သည်။ ၎င်းတို့လုပ်ဆောင်ပုံကို နားလည်ခြင်းသည် ထိရောက်ပြီး ဘေးကင်းသောမူဝါဒများကို ဖော်ဆောင်ရာတွင် အထောက်အကူဖြစ်စေပါသည်။ Calico ဖြင့် သင်သည် အညွှန်းတစ်ခု (nodes နှင့် pods အုပ်စုများ) အတွက် သက်ဆိုင်သည့် ကမ္ဘာလုံးဆိုင်ရာ ကွန်ရက်မူဝါဒကို အသုံးပြုနိုင်ပြီး ဘောင်အမျိုးမျိုးဖြင့် မူဝါဒများကို ကျင့်သုံးနိုင်သည်။ ၎င်းသည် Calico မူဝါဒများဖြင့် မူဝါဒဘာသာစကားတစ်ခုတည်းကို အသုံးပြု၍ လုံခြုံရေးနှင့် ကွန်ရက်ဒီဇိုင်းပညာရှင်များကို "အရာရာ" (အဆုံးမှတ်အမျိုးအစားများ) ကို အဆင်ပြေစွာ ကာကွယ်နိုင်စေပါသည်။

အသိအမှတ်ပြုခြင်း- ကျေးဇူးတင်လိုပါတယ်။ Sean Crampton и Alexa Pollitta ၎င်းတို့၏သုံးသပ်ချက်နှင့် အဖိုးတန်အချက်အလက်များအတွက်။

source: www.habr.com