မကြာသေးမီက ကျွန်ုပ်သည် MetalLB အတွက် လမ်းကြောင်းသတ်မှတ်ခြင်းအတွက် အလွန်ထူးခြားသော အလုပ်တစ်ခုနှင့် ရင်ဆိုင်ခဲ့ရသည်။ အားလုံးအဆင်ပြေသွားမှာမို့... အများအားဖြင့် MetalLB သည် နောက်ထပ်လုပ်ဆောင်မှုများ မလိုအပ်သော်လည်း၊ ကျွန်ုပ်တို့တွင် အလွန်ရိုးရှင်းသော ကွန်ရက်ဖွဲ့စည်းမှုပုံစံဖြင့် အတော်လေးကြီးမားသော အစုအဝေးတစ်ခုရှိသည်။

ဤဆောင်းပါးတွင် သင့်အစုအဝေး၏ ပြင်ပကွန်ရက်အတွက် ရင်းမြစ်အခြေခံနှင့် မူဝါဒအခြေခံလမ်းကြောင်းကို မည်သို့စီစဉ်သတ်မှတ်ရမည်ကို ကျွန်ုပ်ပြောပြပါမည်။

သင့်တွင် အတွေ့အကြုံအချို့ရှိနေပြီဟု ကျွန်ုပ်ယူဆသောကြောင့် MetalLB တပ်ဆင်ခြင်းနှင့် configure နှင့်ပတ်သက်ပြီး အသေးစိတ်အချက်အလက်များကို ကျွန်ုပ်ပြောမည်မဟုတ်ပါ။ လမ်းကြောင်းသတ်မှတ်ခြင်းကို တည့်တည့်သွားပါလို့ အကြံပြုချင်ပါတယ်။ ထို့ကြောင့် ကျွန်ုပ်တို့တွင် အမှုလေးခုရှိသည်။

Case 1- ဖွဲ့စည်းမှုပုံစံမလိုအပ်သည့်အခါ

ရိုးရှင်းတဲ့ ကိစ္စတစ်ခုကို ကြည့်ရအောင်။

MetalLB မှထုတ်ပေးသောလိပ်စာများသည် သင့် nodes များ၏လိပ်စာများကဲ့သို့ တူညီသော subnet တွင်ရှိနေသောအခါတွင် ထပ်လောင်းလမ်းကြောင်းသတ်မှတ်မှုပုံစံကိုမလိုအပ်ပါ။

ဥပမာအားဖြင့်၊ သင့်တွင် subnet တစ်ခုရှိသည်။ 192.168.1.0/24Router ပါရှိသည်။ 192.168.1.1နှင့် သင့် node များသည် လိပ်စာများကို လက်ခံရရှိသည်- 192.168.1.10-30ထို့နောက် MetalLB အတွက် အပိုင်းအခြားကို ချိန်ညှိနိုင်သည်။ 192.168.1.100-120 ထို့အပြင် ၎င်းတို့သည် ထပ်လောင်းဖွဲ့စည်းမှုမပါဘဲ လုပ်ဆောင်နိုင်မည်ဖြစ်ကြောင်း သေချာပါစေ။

အဲဒီလို့ဘာဖြစ်လို့? သင့် node များတွင် လမ်းကြောင်းများ စီစဉ်ပေးထားပြီးဖြစ်သောကြောင့်-

# ip route
default via 192.168.1.1 dev eth0 onlink 
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10

ထို့အပြင် တူညီသောအကွာအဝေးမှ လိပ်စာများသည် ၎င်းတို့ကို ထပ်လောင်းလုပ်ဆောင်မှုများမရှိဘဲ ၎င်းတို့ကို ပြန်လည်အသုံးပြုမည်ဖြစ်သည်။

Case 2- နောက်ထပ် စိတ်ကြိုက်ပြင်ဆင်မှု လိုအပ်သည့်အခါ

MetalLB မှထုတ်ပေးသော လိပ်စာပေးသော ကွန်ရက်ခွဲသို့ လမ်းကြောင်းသတ်မှတ်ထားသော IP လိပ်စာ သို့မဟုတ် သင့် node များတွင် အပိုလမ်းကြောင်းများ မရှိသည့်အခါတိုင်း သင်သည် ထပ်ဆောင်းလမ်းကြောင်းများကို ပြင်ဆင်သတ်မှတ်သင့်သည်။

နည်းနည်းအသေးစိတ်ရှင်းပြပါ့မယ်။ MetalLB သည် လိပ်စာတစ်ခုထုတ်ပေးသည့်အခါတိုင်း၊ ၎င်းကို ရိုးရှင်းသောတာဝန်နှင့် နှိုင်းယှဉ်နိုင်သည်။

ip addr add 10.9.8.7/32 dev lo

အာရုံစိုက်ပါ-

• a) လိပ်စာကို ရှေ့ဆက်တစ်ခုဖြင့် သတ်မှတ်ပေးထားသည်။ /32 ဆိုလိုသည်မှာ၊ ၎င်းအတွက် လမ်းကြောင်းတစ်ခုအား subnet သို့ အလိုအလျောက် ထည့်မည်မဟုတ်ပါ (၎င်းသည် လိပ်စာတစ်ခုသာဖြစ်သည်)
• b) လိပ်စာသည် မည်သည့် node interface နှင့်မဆို တွဲထားသည် (ဥပမာ loopback)။ ဤနေရာတွင် Linux network stack ၏အင်္ဂါရပ်များကိုဖော်ပြရကျိုးနပ်သည်။ မည်သည့် လိပ်စာကို သင်ထည့်သွင်းထားပါစေ၊ kernel သည် arp တောင်းဆိုမှုများကို အမြဲတမ်းလုပ်ဆောင်ပြီး ၎င်းတို့ထဲမှ တစ်ခုခုကို arp တုံ့ပြန်မှုများကို ပေးပို့လိမ့်မည်၊ ဤအပြုအမူသည် မှန်ကန်သည်ဟု ယူဆရပြီး၊ ထို့အပြင် Kubernetes ကဲ့သို့ တက်ကြွသောပတ်ဝန်းကျင်တွင် အတော်လေးကို တွင်ကျယ်စွာ အသုံးပြုပါသည်။

တင်းကျပ်သော arp ကိုဖွင့်ခြင်းဖြင့် ဤအပြုအမူကို စိတ်ကြိုက်ပြင်ဆင်နိုင်သည်။

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

ဤကိစ္စတွင်၊ အင်တာဖေ့စ်တွင် သီးခြား IP လိပ်စာတစ်ခု ပြတ်သားစွာပါရှိမှသာ arp တုံ့ပြန်မှုများကို ပေးပို့မည်ဖြစ်သည်။ သင်သည် MetalLB ကိုအသုံးပြုရန်စီစဉ်ထားပြီး သင့် kube-proxy ကို IPVS မုဒ်တွင် လုပ်ဆောင်နေပါက ဤဆက်တင်ကို လိုအပ်ပါသည်။

သို့သော်လည်း MetalLB သည် arp တောင်းဆိုမှုများကို လုပ်ဆောင်ရန် kernel ကို အသုံးမပြုသော်လည်း ၎င်းကို user-space တွင် ကိုယ်တိုင်လုပ်ဆောင်သောကြောင့်၊ ဤရွေးချယ်မှုသည် MetalLB ၏ လုပ်ဆောင်ချက်အပေါ် သက်ရောက်မှုရှိမည်မဟုတ်ပါ။

ငါတို့တာဝန်ကိုပြန်ကြရအောင်။ ထုတ်ပေးထားသော လိပ်စာများအတွက် လမ်းကြောင်းသည် သင့် node များတွင် မရှိပါက၊ ၎င်းကို node များအားလုံးသို့ ကြိုတင်ထည့်ပါ-

ip route add 10.9.8.0/24 dev eth1

Case 3- အရင်းအမြစ်-အခြေခံလမ်းကြောင်းကို လိုအပ်သည့်အခါ

သီးခြား gateway မှတဆင့် packet များကို လက်ခံရရှိသောအခါတွင် မူရင်းအတိုင်း configure ပြုလုပ်ထားသော မဟုတ်ဘဲ၊ ထို့ကြောင့် တုံ့ပြန်မှု packets များသည် တူညီသော gateway မှတဆင့် သွားသင့်ပါသည်။

ဥပမာအားဖြင့်၊ သင့်တွင် တူညီသော subnet တစ်ခုရှိသည်။ 192.168.1.0/24 သင်၏ node များအတွက် ရည်ညွှန်းသော်လည်း သင်သည် MetalLB ကို အသုံးပြု၍ ပြင်ပလိပ်စာများကို ထုတ်ပေးလိုပါသည်။ သင့်တွင် subnet တစ်ခုမှ လိပ်စာများစွာ ရှိသည်ဟု ယူဆကြပါစို့ 1.2.3.0/24 VLAN 100 တွင်တည်ရှိပြီး Kubernetes ဝန်ဆောင်မှုများကို ပြင်ပတွင်ဝင်ရောက်အသုံးပြုလိုပါသည်။

ဆက်သွယ်တဲ့အခါ 1.2.3.4 သင် နှင့် မတူသော subnet တစ်ခုမှ တောင်းဆိုမှုများ ပြုလုပ်လိမ့်မည်။ 1.2.3.0/24 အဖြေကိုစောင့်ပါ။ MetalLB ထုတ်ပေးသည့်လိပ်စာအတွက် လောလောဆယ် မာစတာဖြစ်နေသော node 1.2.3.4Router မှ packet ကိုလက်ခံရရှိလိမ့်မည်။ 1.2.3.1ဒါပေမယ့် သူ့အတွက် အဖြေက သေချာပေါက် တူညီတဲ့လမ်းကြောင်းကို ဖြတ်သန်းရမှာ ဖြစ်ပါတယ်။ 1.2.3.1.

ကျွန်ုပ်တို့၏ node တွင် configured default gateway တစ်ခုရှိပြီးဖြစ်သည်။ 192.168.1.1ထို့နောက် ပုံမှန်အားဖြင့် တုံ့ပြန်မှုသည် သူ့ထံသို့ ရောက်သွားမည်ဖြစ်ပြီး၊ 1.2.3.1အထုပ်ကို လက်ခံရရှိသောအားဖြင့်၊

ဒီအခြေအနေကို ဘယ်လိုရင်ဆိုင်ရမလဲ။

ဤကိစ္စတွင်၊ သင်သည် သင်၏ node အားလုံးကို ပြင်ပလိပ်စာများကို ထပ်လောင်းထည့်သွင်းခြင်းမပြုဘဲ ၎င်းတို့ကို ဝန်ဆောင်မှုပေးရန် အဆင်သင့်ဖြစ်စေသောနည်းလမ်းဖြင့် သင်ပြင်ဆင်ရန်လိုအပ်ပါသည်။ ဆိုလိုသည်မှာ၊ အထက်ဖော်ပြပါဥပမာအတွက်၊ သင်သည် node တွင် VLAN interface ကိုကြိုတင်ဖန်တီးရန်လိုအပ်ပါသည်။

ip link add link eth0 name eth0.100 type vlan id 100
ip link set eth0.100 up

ပြီးလျှင် လမ်းကြောင်းများ ထည့်ပါ-

ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100

သီးခြားလမ်းကြောင်းဇယားတစ်ခုသို့ လမ်းကြောင်းများထည့်ထားကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။ 100 ၎င်းတွင် ဂိတ်ဝမှတစ်ဆင့် တုံ့ပြန်မှုပက်ကတ်ကို ပေးပို့ရန် လိုအပ်သော လမ်းကြောင်းနှစ်ခုသာ ပါရှိသည်။ 1.2.3.1အင်တာဖေ့စ်၏နောက်ကွယ်တွင်တည်ရှိသည်။ eth0.100.

ယခု ကျွန်ုပ်တို့သည် ရိုးရှင်းသော စည်းမျဉ်းကို ထည့်သွင်းရန် လိုအပ်သည်-

ip rule add from 1.2.3.0/24 lookup 100

အတိအလင်းပြောထားသည်- အကယ်၍ ပက်ကက်၏ရင်းမြစ်လိပ်စာရှိလျှင် 1.2.3.0/24ထို့နောက်သင် routing table ကိုအသုံးပြုရန်လိုအပ်သည်။ 100. အဲဒီအထဲမှာ သူ့ကို ဖြတ်သန်းရမယ့် လမ်းကြောင်းကို ဖော်ပြထားပြီးသားပါ။ 1.2.3.1

Case 4- မူဝါဒအခြေခံလမ်းကြောင်းကို သင်လိုအပ်သောအခါ

ကွန်ရက် topology သည် ယခင်နမူနာတွင်ကဲ့သို့ပင်ဖြစ်သည်၊ သို့သော် သင်သည် ပြင်ပပူးတွဲလိပ်စာများကို ဝင်ရောက်ကြည့်ရှုလိုသည်ဟု ဆိုကြပါစို့။ 1.2.3.0/24 မင်းရဲ့ pods တွေကနေ

ထူးခြားချက်မှာ မည်သည့်လိပ်စာကိုမဆို ဝင်ရောက်သည့်အခါတွင် ဖြစ်သည်။ 1.2.3.0/24တုံ့ပြန်မှုပက်ကတ်သည် node ကိုထိမှန်ပြီး အပိုင်းအခြားအတွင်း အရင်းအမြစ်လိပ်စာတစ်ခုရှိသည်။ 1.2.3.0/24 နာခံမှုဖြင့် ပေးပို့မည်ဖြစ်သည်။ eth0.100သို့သော် ကျွန်ုပ်တို့သည် မူရင်းတောင်းဆိုချက်ကို ထုတ်ပေးသည့် ကျွန်ုပ်တို့၏ ပထမဆုံး pod သို့ ပြန်ညွှန်းရန် Kubernetes ကို အလိုရှိသည်။

ဤပြဿနာကို ဖြေရှင်းရန်မှာ ခက်ခဲလာသော်လည်း မူဝါဒအခြေခံလမ်းကြောင်းလမ်းကြောင်းကြောင့် ဖြစ်နိုင်သည်-

လုပ်ငန်းစဉ်ကို ပိုမိုကောင်းမွန်စွာ နားလည်ရန်အတွက်၊ ဤနေရာတွင် netfilter block diagram တစ်ခုဖြစ်သည်။

ဦးစွာ၊ ယခင်နမူနာတွင်အတိုင်း၊ နောက်ထပ်လမ်းကြောင်းဇယားတစ်ခုကို ဖန်တီးကြပါစို့။

ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100

အခု iptables မှာ စည်းကမ်းအနည်းငယ်ထည့်ကြည့်ရအောင်။

iptables -t mangle -A PREROUTING -i eth0.100 -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING  -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark

ဤစည်းမျဉ်းများသည် အင်တာဖေ့စ်သို့ အဝင်ချိတ်ဆက်မှုများကို အမှတ်အသားပြုမည်ဖြစ်သည်။ eth0.100ထုပ်ပိုးမှုအားလုံးကို tag ဖြင့် အမှတ်အသားပြုပါ။ 0x100တူညီသောချိတ်ဆက်မှုအတွင်း တုံ့ပြန်မှုများကိုလည်း တူညီသော tag ဖြင့် အမှတ်အသားပြုမည်ဖြစ်သည်။

ယခု ကျွန်ုပ်တို့သည် လမ်းကြောင်းပြစည်းမျဉ်းကို ထည့်သွင်းနိုင်သည်-

ip rule add from 1.2.3.0/24 fwmark 0x100 lookup 100

ဆိုလိုသည်မှာ၊ အရင်းအမြစ်လိပ်စာပါသော packet များအားလုံး 1.2.3.0/24 နှင့် tag 0x100 ဇယားကို အသုံးပြု၍ လမ်းကြောင်းပေးရမည်။ 100.

ထို့ကြောင့်၊ အခြားအင်တာဖေ့စ်ပေါ်တွင် လက်ခံရရှိသည့် အခြားပက်ကတ်များသည် စံ Kubernetes ကိရိယာများကို အသုံးပြု၍ ၎င်းတို့ကို လမ်းကြောင်းပြောင်းနိုင်စေမည့် ဤစည်းမျဉ်းနှင့် မကိုက်ညီပါ။

နောက်တစ်ခုရှိသေးသည်၊ Linux တွင်အရာအားလုံးကိုပျက်စီးစေသော reverse path filter ဟုခေါ်တွင်သည်၊ ၎င်းသည်ရိုးရှင်းသောစစ်ဆေးမှုကိုလုပ်ဆောင်သည်- အဝင်ထုပ်ပိုးအားလုံးအတွက်၊ ပေးပို့သူလိပ်စာနှင့်အတူ packet ၏အရင်းအမြစ်လိပ်စာကိုပြောင်းလဲပြီးစစ်ဆေးခြင်းရှိမရှိစစ်ဆေးသည်။ packet သည် လက်ခံရရှိထားသည့် တူညီသောအင်တာဖေ့စ်မှတဆင့် ထွက်သွားနိုင်သည်၊ မဟုတ်ပါက ၎င်းကို စစ်ထုတ်မည်ဖြစ်သည်။

ပြဿနာမှာ ကျွန်ုပ်တို့၏ ကိစ္စတွင် ၎င်းသည် မှန်ကန်စွာ အလုပ်မလုပ်သော်လည်း ကျွန်ုပ်တို့ ၎င်းကို disable လုပ်နိုင်ပါသည်။

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter

ပထမ command သည် rp_filter ၏ ကမ္ဘာလုံးဆိုင်ရာ အပြုအမူကို ထိန်းချုပ်ထားကြောင်း ကျေးဇူးပြု၍ မှတ်သားထားပါ၊ ၎င်းကို မပိတ်ထားပါက၊ ဒုတိယအမိန့်မှာ အကျိုးသက်ရောက်မှု ရှိမည်မဟုတ်ပါ။ သို့သော်လည်း ကျန်ရှိသော အင်တာဖေ့စ်များသည် rp_filter ကိုဖွင့်ထားခြင်းဖြင့် ကျန်ရှိနေမည်ဖြစ်သည်။

filter ၏လုပ်ဆောင်ချက်ကို လုံးလုံးလျားလျား ကန့်သတ်မထားစေရန်၊ ကျွန်ုပ်တို့သည် netfilter အတွက် rp_filter အကောင်အထည်ဖော်မှုကို အသုံးပြုနိုင်ပါသည်။ rpfilter ကို iptables module တစ်ခုအနေဖြင့်အသုံးပြုခြင်းဖြင့်၊ သင်သည် အတော်လေး လိုက်လျောညီထွေရှိသော စည်းမျဉ်းများကို သတ်မှတ်နိုင်သည်၊ ဥပမာ၊

iptables -t raw -A PREROUTING -i eth0.100 -d 1.2.3.0/24 -j RETURN
iptables -t raw -A PREROUTING -i eth0.100 -m rpfilter --invert -j DROP

အင်တာဖေ့စ်ပေါ်တွင် rp_filter ကိုဖွင့်ပါ။ eth0.100 လိပ်စာအားလုံးမှလွဲ၍ 1.2.3.0/24.

source: www.habr.com