🥇 क्यालिकोसँग नेटवर्क नीति विकल्पहरू बुझ्दै

क्यालिको नेटवर्क प्लगइनले हार्डवेयर होस्टहरू, भर्चुअल मेसिनहरू र पोडहरू सुरक्षित गर्न एकीकृत वाक्य रचनाको साथ नेटवर्क नीतिहरूको विस्तृत दायरा प्रदान गर्दछ। यी नीतिहरू नाम स्थान भित्र लागू गर्न सकिन्छ वा लागू हुने विश्वव्यापी नेटवर्क नीतिहरू हुन सक्छन् होस्ट अन्त्य बिन्दु (होस्टमा सीधै चलिरहेको अनुप्रयोगहरू सुरक्षित गर्न - होस्ट सर्भर वा भर्चुअल मेसिन हुन सक्छ) वा कार्यभार अन्त्य बिन्दु (कन्टेनर वा होस्ट गरिएको भर्चुअल मेसिनहरूमा चलिरहेको अनुप्रयोगहरू सुरक्षित गर्न)। क्यालिको नीतिहरूले तपाईंलाई preDNAT, unracked, र applyOnForward जस्ता विकल्पहरू प्रयोग गरेर प्याकेटको मार्गमा विभिन्न बिन्दुहरूमा सुरक्षा उपायहरू लागू गर्न अनुमति दिन्छ। यी विकल्पहरूले कसरी काम गर्छ भन्ने कुरा बुझ्दा तपाईंको समग्र प्रणालीको सुरक्षा र कार्यसम्पादन सुधार गर्न मद्दत गर्न सक्छ। यो लेखले प्याकेट प्रशोधन मार्गहरू (iptabels चेनहरू) मा के हुन्छ भन्ने कुरामा जोड दिएर होस्ट एन्डपोइन्टहरूमा लागू गरिएका यी क्यालिको नीति विकल्पहरू (preDNAT, unraracked र applyOnForward) को सार बताउँछ।

यस लेखले तपाईंलाई Kubernetes र Calico नेटवर्क नीतिहरूले कसरी काम गर्छ भन्ने आधारभूत बुझाइ छ भनी मानेको छ। यदि होइन भने, हामी यसलाई प्रयास गर्न सिफारिस गर्दछौं आधारभूत नेटवर्क नीति ट्यूटोरियल и होस्ट सुरक्षा ट्यूटोरियल यो लेख पढ्नु अघि क्यालिको प्रयोग गर्दै। हामी तपाईंलाई कामको आधारभूत बुझाइको अपेक्षा पनि गर्छौं iptables लिनक्स मा।

Calico विश्वव्यापी नेटवर्क नीति तपाईंलाई लेबलहरूद्वारा पहुँच नियमहरूको सेट लागू गर्न अनुमति दिन्छ (होस्टहरू र वर्कलोडहरू/पोडहरूको समूहहरूमा)। यदि तपाइँ विषम प्रणालीहरू सँगै प्रयोग गर्नुहुन्छ भने यो धेरै उपयोगी छ - भर्चुअल मेसिनहरू, सीधा हार्डवेयरमा प्रणाली, वा कुबर्नेट्स पूर्वाधार। थप रूपमा, तपाईंले घोषणात्मक नीतिहरूको सेट प्रयोग गरेर आफ्नो क्लस्टर (नोडहरू) सुरक्षित गर्न सक्नुहुन्छ र आगमन ट्राफिकमा नेटवर्क नीतिहरू लागू गर्न सक्नुहुन्छ (उदाहरणका लागि, NodePorts वा बाह्य IPs सेवा मार्फत)।

आधारभूत स्तरमा, जब क्यालिकोले पोडलाई नेटवर्कमा जडान गर्छ (तलको रेखाचित्र हेर्नुहोस्), यसले भर्चुअल इथरनेट इन्टरफेस (veth) प्रयोग गरेर होस्टमा जडान गर्छ। पोडले पठाएको ट्राफिक यो भर्चुअल इन्टरफेसबाट होस्टमा आउँछ र भौतिक नेटवर्क इन्टरफेसबाट आएको जस्तै गरी प्रशोधन गरिन्छ। पूर्वनिर्धारित रूपमा, क्यालिकोले यी इन्टरफेसहरूलाई caliXXX नाम दिन्छ। ट्राफिक भर्चुअल इन्टरफेस मार्फत आउँदा, यो iptables मार्फत जान्छ मानौं पोड एक हप टाढा थियो। त्यसकारण, जब ट्राफिक पोडमा/बाट आउँछ, यसलाई होस्टको दृष्टिकोणबाट फर्वार्ड गरिन्छ।

क्यालिको चलिरहेको Kubernetes नोडमा, तपाईंले भर्चुअल इन्टरफेस (veth) लाई निम्नानुसार कार्यभारमा नक्सा गर्न सक्नुहुन्छ। तलको उदाहरणमा, तपाईंले देख्न सक्नुहुन्छ कि veth#10 (calic1cbf1ca0f8) cnx-manager-* मा calico-monitering namespace मा जडान गरिएको छ।

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

Calico ले प्रत्येक कार्यभारको लागि एक veth इन्टरफेस सिर्जना गर्दछ, यसले कसरी नीतिहरू लागू गर्छ? यो गर्नका लागि, क्यालिकोले iptables प्रयोग गरेर प्याकेट प्रशोधन मार्गको विभिन्न चेनहरूमा हुकहरू सिर्जना गर्दछ।

तलको रेखाचित्रले iptables (वा नेटफिल्टर सबसिस्टम) मा प्याकेट प्रशोधनमा संलग्न चेनहरू देखाउँछ। जब एक प्याकेट नेटवर्क इन्टरफेस मार्फत आउँछ, यो पहिले PREROUTING चेन मार्फत जान्छ। त्यसपछि एक मार्ग निर्णय गरिन्छ, र यसको आधारमा, प्याकेट कि त INPUT (प्रक्रियाहरू होस्ट गर्न निर्देशित) वा FORWARD (नेटवर्कमा पोड वा अर्को नोडमा निर्देशित) मार्फत जान्छ। स्थानीय प्रक्रियाबाट, प्याकेट केबल पठाउनु अघि OUTPUT र त्यसपछि POSTROUTING चेन मार्फत जान्छ।

ध्यान दिनुहोस् कि पोड पनि iptables प्रशोधन को मामला मा एक बाह्य इकाई (veth मा जोडिएको) हो। संक्षेप गरौं:

फर्वार्ड गरिएको ट्राफिक (Nat, रूट गरिएको वा पोडबाट/बाट) PREROUTING - FORWARD - POSTROUTING चेनहरू मार्फत जान्छ।
स्थानीय होस्ट प्रक्रियामा ट्राफिक PREROUTING - INPUT चेन मार्फत जान्छ।
स्थानीय होस्ट प्रक्रियाबाट ट्राफिक OUTPUT - POSTROUTING श्रृंखला मार्फत जान्छ।

Calico ले नीति विकल्पहरू प्रदान गर्दछ जसले तपाईंलाई सबै चेनहरूमा नीतिहरू लागू गर्न अनुमति दिन्छ। त्यो दिमागमा, केलिकोमा उपलब्ध विभिन्न नीति कन्फिगरेसन विकल्पहरू हेरौं। तलका विकल्पहरूको सूचीमा रहेका संख्याहरू माथिको रेखाचित्रमा रहेका सङ्ख्याहरूसँग मेल खान्छ।

कार्यभार अन्त्य बिन्दु (पोड) नीति
होस्ट अन्त्य बिन्दु नीति
ApplyOnForward विकल्प
PreDNAT नीति
ट्र्याक नगरिएको नीति

वर्कलोड एन्डपोइन्टहरू (Kubernetes pods वा OpenStack VMs) मा नीतिहरू कसरी लागू हुन्छन् भनेर हेरेर सुरु गरौं, र त्यसपछि होस्ट एन्डपोइन्टहरूका लागि नीति विकल्पहरू हेर्नुहोस्।

कार्यभार समाप्ति बिन्दुहरू

कार्यभार अन्त्यबिन्दु नीति (१)

यो तपाइँको kubernetes पोड को रक्षा गर्न को लागी एक विकल्प हो। Calico ले Kubernetes NetworkPolicy सँग काम गर्न समर्थन गर्दछ, तर यसले अतिरिक्त नीतिहरू पनि प्रदान गर्दछ - Calico NetworkPolicy र GlobalNetworkPolicy। Calico ले प्रत्येक पोड (वर्कलोड) को लागि चेन बनाउँछ र FORWARD चेनको फिल्टर तालिकामा कार्यभारको लागि INPUT र OUTPUT चेनहरूमा हुकहरू बनाउँछ।

होस्ट समापन बिन्दुहरू

होस्ट अन्तिम बिन्दु नीति (२)

CNI (कन्टेनर नेटवर्क इन्टरफेस) को अतिरिक्त, क्यालिको नीतिहरूले होस्टलाई सुरक्षित राख्ने क्षमता प्रदान गर्दछ। क्यालिकोमा, तपाइँ होस्ट इन्टरफेसको संयोजन निर्दिष्ट गरेर र आवश्यक भएमा, पोर्ट नम्बरहरू निर्दिष्ट गरेर होस्ट अन्त्य बिन्दु सिर्जना गर्न सक्नुहुन्छ। यस संस्थाको लागि नीति प्रवर्तन INPUT र OUTPUT चेनहरूमा फिल्टर तालिका प्रयोग गरेर प्राप्त गरिन्छ। तपाईले रेखाचित्रबाट देख्न सक्नुहुन्छ, (२) तिनीहरू नोड/होस्टमा स्थानीय प्रक्रियाहरूमा लागू हुन्छन्। त्यो हो, यदि तपाईंले होस्ट एन्डपोइन्टमा लागू हुने नीति बनाउनुभयो भने, यसले तपाईंको पोडहरूमा जाने/जाने ट्राफिकलाई असर गर्दैन। तर यसले क्यालिको नीतिहरू प्रयोग गरेर तपाईंको होस्ट र पोडहरूको लागि ट्राफिक रोक्नको लागि एकल इन्टरफेस/वाक्यविन्यास प्रदान गर्दछ। यसले विषम नेटवर्कको लागि नीतिहरू प्रबन्ध गर्ने प्रक्रियालाई धेरै सरल बनाउँछ। क्लस्टर सुरक्षा बृद्धि गर्न होस्ट एन्डपोइन्ट नीतिहरू कन्फिगर गर्नु अर्को महत्त्वपूर्ण प्रयोग केस हो।

फर्वार्ड नीति लागू गर्नुहोस् (३)

ApplyOnForward विकल्प क्यालिको ग्लोबल सञ्जाल नीतिमा उपलब्ध छ जसलाई होस्टले फर्वार्ड गर्ने ट्राफिक सहित होस्ट एन्डपोइन्ट हुँदै जाने सबै ट्राफिकहरूमा नीतिहरू लागू गर्न अनुमति दिन्छ। यसमा स्थानीय पोड वा नेटवर्कमा अन्यत्र फर्वार्ड गरिएको ट्राफिक समावेश छ। क्यालिकोलाई PreDNAT प्रयोग गरी र अनट्र्याक नगरिएका नीतिहरूको लागि यो सेटिङ सक्षम गर्न आवश्यक छ, निम्न खण्डहरू हेर्नुहोस्। थप रूपमा, भर्चुअल राउटर वा सफ्टवेयर NAT प्रयोग भएको अवस्थामा होस्ट ट्राफिकको निगरानी गर्न ApplyOnForward प्रयोग गर्न सकिन्छ।

नोट गर्नुहोस् कि यदि तपाइँ दुबै होस्ट प्रक्रियाहरू र पोडहरूमा समान नेटवर्क नीति लागू गर्न आवश्यक छ भने, तपाइँले ApplyOnForward विकल्प प्रयोग गर्न आवश्यक छैन। तपाईले गर्नुपर्ने भनेको आवश्यक होस्टेन्डपोइन्ट र वर्कलोड एन्डपोइन्ट (पोड) को लागी लेबल सिर्जना गर्नु हो। अन्तबिन्दु प्रकार (होस्टन्डपोइन्ट वा वर्कलोड) को पर्वाह नगरी लेबलहरूमा आधारित नीति लागू गर्न Calico पर्याप्त स्मार्ट छ।

PreDNAT नीति (4)

Kubernetes मा, सेवा इकाई पोर्टहरू बाहिरी रूपमा NodePorts विकल्प प्रयोग गरेर वा वैकल्पिक रूपमा (क्यालिको प्रयोग गर्दा), क्लस्टर आईपी वा बाह्य आईपी विकल्पहरू प्रयोग गरेर विज्ञापन गरेर खुलाउन सकिन्छ। कुबे-प्रोक्सीले DNAT प्रयोग गरी सम्बन्धित सेवाको पोडहरूमा सेवामा बाँधिएको आगमन ट्राफिकलाई सन्तुलनमा राख्छ। यो दिईएको छ, तपाईं NodePorts मार्फत आउने ट्राफिकको लागि नीतिहरू कसरी लागू गर्नुहुन्छ? DNAT द्वारा ट्राफिक प्रशोधन गर्नु अघि यी नीतिहरू लागू हुन्छन् भनेर सुनिश्चित गर्न (जसले host:port र सम्बन्धित सेवाहरू बीचको म्यापिङ हो), Calico ले "preDNAT: true" भनिने विश्वव्यापी नेटवर्क नीतिको लागि प्यारामिटर प्रदान गर्दछ।

जब प्रि-DNAT सक्षम हुन्छ, यी नीतिहरू (4) रेखाचित्रमा - PREROUTING श्रृंखलाको mangle तालिकामा - DNAT भन्दा पहिले लागू गरिन्छ। नीतिहरूको सामान्य क्रम यहाँ पछ्याइएको छैन, किनकि यी नीतिहरूको लागू ट्राफिक प्रशोधन मार्गमा धेरै पहिले हुन्छ। यद्यपि, preDNAT नीतिहरूले आपसमा आवेदनको क्रमलाई सम्मान गर्दछ।

प्रि-DNAT मार्फत नीतिहरू सिर्जना गर्दा, तपाईंले प्रशोधन गर्न चाहनुभएको ट्राफिकको बारेमा होसियार हुनु महत्त्वपूर्ण छ र बहुमतलाई अस्वीकार गर्न अनुमति दिनुहोस्। पूर्व-DNAT नीतिमा 'अनुमति दिनुहोस्' भनी चिन्ह लगाइएको ट्राफिकलाई होस्टेन्डपोइन्ट नीतिद्वारा जाँच गरिने छैन, जबकि पूर्व-DNAT नीति असफल हुने ट्राफिक बाँकी चेनहरूमा जारी रहनेछ।
क्यालिकोले preDNAT प्रयोग गर्दा ApplyOnForward विकल्प सक्षम गर्न अनिवार्य बनाएको छ, किनकि परिभाषा अनुसार ट्राफिकको गन्तव्य अझै चयन गरिएको छैन। ट्राफिकलाई होस्ट प्रक्रियामा निर्देशित गर्न सकिन्छ, वा यसलाई पोड वा अर्को नोडमा फर्वार्ड गर्न सकिन्छ।

ट्र्याक नगरिएको नीति (५)

सञ्जाल र अनुप्रयोगहरूको व्यवहारमा ठूलो भिन्नता हुन सक्छ। केही चरम अवस्थाहरूमा, अनुप्रयोगहरूले धेरै छोटो-अवस्था जडानहरू उत्पन्न गर्न सक्छन्। यसले कन्ट्र्याक (लिनक्स नेटवर्किङ स्ट्याकको मुख्य भाग) को मेमोरी समाप्त हुन सक्छ। परम्परागत रूपमा, लिनक्समा यी प्रकारका अनुप्रयोगहरू चलाउनको लागि, तपाईंले कन्ट्र्याकलाई म्यानुअल रूपमा कन्फिगर वा असक्षम पार्नु पर्छ, वा कन्ट्र्याकलाई बाइपास गर्न iptables नियमहरू लेख्नुपर्छ। यदि तपाइँ जति सक्दो चाँडो जडानहरू प्रशोधन गर्न चाहनुहुन्छ भने क्यालिकोमा अनट्र्याक गरिएको नीति एक सरल र अधिक प्रभावकारी विकल्प हो। उदाहरणका लागि, यदि तपाइँ ठूलो प्रयोग गर्नुहुन्छ मेम्चेस वा विरुद्ध सुरक्षाको अतिरिक्त उपायको रूपमा DDOS.

यो पढ्नुहोस् ब्लग पोस्ट (वा हाम्रो अनुवादट्र्याक नगरिएको नीति प्रयोग गरेर प्रदर्शन परीक्षणहरू सहित थप जानकारीको लागि।

जब तपाईंले Calico globalNetworkPolicy मा "doNotTrack: true" विकल्प सेट गर्नुहुन्छ, यो **ट्र्याक नगरिएको** नीति बन्छ र लिनक्स प्याकेट प्रशोधन पाइपलाइनमा धेरै चाँडो लागू हुन्छ। माथिको रेखाचित्रमा हेर्दा, जडान ट्र्याकिङ (कन्ट्र्याक) सुरु हुनु अघि कच्चा तालिकामा रहेको PREROUTING र OUTPUT चेनहरूमा ट्र्याक नगरिएका नीतिहरू लागू हुन्छन्। जब प्याकेटलाई अनट्र्याक गरिएको नीतिद्वारा अनुमति दिइन्छ, त्यो प्याकेटको लागि जडान ट्र्याकिङ असक्षम पार्न चिन्ह लगाइन्छ। यसको अर्थ:

अनट्र्याक गरिएको नीति प्रति-प्याकेट आधारमा लागू हुन्छ। जडान (वा प्रवाह) को कुनै अवधारणा छैन। जडानको अभावमा धेरै महत्त्वपूर्ण परिणामहरू छन्:
यदि तपाइँ अनुरोध र प्रतिक्रिया ट्राफिक दुवैलाई अनुमति दिन चाहनुहुन्छ भने, तपाइँलाई इनबाउन्ड र आउटबाउन्ड दुवैको लागि नियम चाहिन्छ (किनकि क्यालिकोले सामान्यतया प्रतिक्रिया ट्राफिकलाई अनुमति दिइएको रूपमा चिन्ह लगाउन कन्ट्र्याक प्रयोग गर्दछ)।
ट्र्याक नगरिएको नीतिले Kubernetes workloads (pods) का लागि काम गर्दैन, किनभने यस अवस्थामा पोडबाट बाहिर जाने जडान ट्र्याक गर्ने कुनै तरिका छैन।
NAT ले ट्र्याक नगरिएका प्याकेटहरूसँग सही रूपमा काम गर्दैन (किनकि कर्नेलले NAT म्यापिङलाई कन्ट्र्याकमा भण्डार गर्छ)।
अनट्र्याक गरिएको नीतिमा "सबैलाई अनुमति दिनुहोस्" नियम पार गर्दा, सबै प्याकेटहरूलाई अनट्र्याक गरिएको रूपमा चिन्ह लगाइनेछ। यो लगभग सधैं तपाईले चाहानुहुने होइन, त्यसैले ट्र्याक नगरिएका नीतिहरूद्वारा अनुमति दिइएको प्याकेटहरूको बारेमा धेरै छनौट हुनु महत्त्वपूर्ण छ (र धेरैजसो ट्राफिकलाई सामान्य ट्र्याक गरिएका नीतिहरू मार्फत जान अनुमति दिनुहोस्)।
अनट्र्याक गरिएका नीतिहरू प्याकेट प्रशोधन पाइपलाइनको सुरुमा लागू हुन्छन्। Calico नीतिहरू सिर्जना गर्दा यो बुझ्न धेरै महत्त्वपूर्ण छ। तपाईंसँग अर्डर: 1 को साथ पोड नीति र अर्डर: 1000 संग अनट्र्याक नीति हुन सक्छ। केही फरक पर्दैन। अनट्र्याक गरिएको नीति पोडको लागि नीति अघि लागू गरिनेछ। अनट्र्याक गरिएका नीतिहरूले आपसमा मात्र कार्यान्वयन आदेशलाई सम्मान गर्छन्।

किनभने doNotTrack नीतिको उद्देश्यहरू मध्ये एउटा नीतिलाई Linux प्याकेट प्रशोधन पाइपलाइनमा चाँडै लागू गर्नु हो, Calico ले doNotTrack प्रयोग गर्दा ApplyOnForward विकल्प निर्दिष्ट गर्न अनिवार्य बनाउँछ। प्याकेट प्रशोधन रेखाचित्रलाई सन्दर्भ गर्दै, याद गर्नुहोस् कि अनट्र्याक (5) नीति कुनै पनि मार्ग निर्णयहरू अघि लागू गरिएको छ। ट्राफिकलाई होस्ट प्रक्रियामा निर्देशित गर्न सकिन्छ, वा यसलाई पोड वा अर्को नोडमा फर्वार्ड गर्न सकिन्छ।

परिणामहरू

हामीले क्यालिकोमा विभिन्न नीति विकल्पहरू (होस्ट एन्डपोइन्ट, ApplyOnForward, preDNAT, र Untracked) र ती प्याकेट प्रशोधन मार्गमा कसरी लागू गरिन्छ भनेर हेर्यौं। तिनीहरूले कसरी काम गर्छन् भन्ने बुझ्दा प्रभावकारी र सुरक्षित नीतिहरू विकास गर्न मद्दत गर्दछ। क्यालिकोको साथ तपाईंले लेबल (नोडहरू र पोडहरूको समूह) मा लागू हुने ग्लोबल नेटवर्क नीति प्रयोग गर्न सक्नुहुन्छ र विभिन्न प्यारामिटरहरूसँग नीतिहरू लागू गर्न सक्नुहुन्छ। यसले सुरक्षा र नेटवर्क डिजाइन पेशेवरहरूलाई "सबै कुरा" (अन्तबिन्दु प्रकारहरू) लाई एकैचोटि क्यालिको नीतिहरूको साथ एकल नीति भाषा प्रयोग गरेर सहज रूपमा सुरक्षित गर्न अनुमति दिन्छ।

स्वीकृति: म धन्यवाद दिन चाहन्छु सेन क्रम्प्टन и एलेक्सा पोलिटा तिनीहरूको समीक्षा र बहुमूल्य जानकारीको लागि।

स्रोत: www.habr.com

क्यालिकोसँग नेटवर्क नीति प्रवर्तन विकल्पहरू बुझ्दै