🥇Calico | உடன் நெட்வொர்க் கொள்கை விருப்பங்களைப் புரிந்துகொள்வது ProHoster

காலிகோ நெட்வொர்க் செருகுநிரல் வன்பொருள் ஹோஸ்ட்கள், மெய்நிகர் இயந்திரங்கள் மற்றும் காய்களைப் பாதுகாக்க ஒரு ஒருங்கிணைந்த தொடரியல் கொண்ட பரந்த அளவிலான நெட்வொர்க் கொள்கைகளை வழங்குகிறது. இந்தக் கொள்கைகள் பெயர்வெளியில் பயன்படுத்தப்படலாம் அல்லது உலகளாவிய நெட்வொர்க் கொள்கைகளாக இருக்கலாம் புரவலன் இறுதிப்புள்ளி (ஹோஸ்டில் நேரடியாக இயங்கும் பயன்பாடுகளைப் பாதுகாக்க - ஹோஸ்ட் ஒரு சர்வர் அல்லது மெய்நிகர் இயந்திரமாக இருக்கலாம்) அல்லது பணிச்சுமை இறுதிப்புள்ளி (கன்டெய்னர்கள் அல்லது ஹோஸ்ட் செய்யப்பட்ட மெய்நிகர் இயந்திரங்களில் இயங்கும் பயன்பாடுகளைப் பாதுகாக்க). காலிகோ கொள்கைகள், preDNAT, unraracked மற்றும் applyOnForward போன்ற விருப்பங்களைப் பயன்படுத்தி ஒரு பாக்கெட்டின் பாதையில் பல்வேறு இடங்களில் பாதுகாப்பு நடவடிக்கைகளைப் பயன்படுத்த உங்களை அனுமதிக்கிறது. இந்த விருப்பங்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்துகொள்வது உங்கள் ஒட்டுமொத்த அமைப்பின் பாதுகாப்பையும் செயல்திறனையும் மேம்படுத்த உதவும். இந்த கட்டுரை இந்த காலிகோ கொள்கை விருப்பங்களின் (preDNAT, unraracked மற்றும் applyOnForward) புரவலன் இறுதிப்புள்ளிகளுக்குப் பயன்படுத்தப்படும், பாக்கெட் செயலாக்க பாதைகளில் (iptabels chains) என்ன நடக்கிறது என்பதை வலியுறுத்துகிறது.

குபெர்னெட்ஸ் மற்றும் காலிகோ நெட்வொர்க் கொள்கைகள் எவ்வாறு செயல்படுகின்றன என்பது பற்றிய அடிப்படை புரிதல் உங்களுக்கு இருப்பதாக இந்தக் கட்டுரை கருதுகிறது. இல்லையென்றால், அதை முயற்சிக்க பரிந்துரைக்கிறோம் அடிப்படை நெட்வொர்க் கொள்கை பயிற்சி и ஹோஸ்ட் பாதுகாப்பு பயிற்சி இந்தக் கட்டுரையைப் படிப்பதற்கு முன் காலிகோவைப் பயன்படுத்தவும். வேலையைப் பற்றிய அடிப்படை புரிதல் உங்களுக்கு இருக்கும் என்றும் நாங்கள் எதிர்பார்க்கிறோம் இப்போது iptables லினக்ஸில்.

காலிகோ உலகளாவிய நெட்வொர்க் கொள்கை லேபிள்கள் மூலம் அணுகல் விதிகளின் தொகுப்பைப் பயன்படுத்த உங்களை அனுமதிக்கிறது (ஹோஸ்ட்கள் மற்றும் பணிச்சுமைகள்/காய்களின் குழுக்களுக்கு). நீங்கள் பன்முக அமைப்புகளை ஒன்றாகப் பயன்படுத்தினால் இது மிகவும் பயனுள்ளதாக இருக்கும் - மெய்நிகர் இயந்திரங்கள், நேரடியாக வன்பொருளில் உள்ள அமைப்பு அல்லது குபெர்னெட்ஸ் உள்கட்டமைப்பு. கூடுதலாக, அறிவிப்புக் கொள்கைகளின் தொகுப்பைப் பயன்படுத்தி உங்கள் கிளஸ்டரை (நோட்கள்) பாதுகாக்கலாம் மற்றும் உள்வரும் போக்குவரத்திற்கு நெட்வொர்க் கொள்கைகளைப் பயன்படுத்தலாம் (எடுத்துக்காட்டாக, NodePorts அல்லது வெளிப்புற IPகள் சேவை மூலம்).

ஒரு அடிப்படை மட்டத்தில், காலிகோ ஒரு பாட் ஒன்றை நெட்வொர்க்குடன் இணைக்கும் போது (கீழே உள்ள வரைபடத்தைப் பார்க்கவும்), அது மெய்நிகர் ஈதர்நெட் இடைமுகத்தைப் (veth) பயன்படுத்தி ஹோஸ்டுடன் இணைக்கிறது. பாட் அனுப்பும் ட்ராஃபிக் இந்த மெய்நிகர் இடைமுகத்திலிருந்து ஹோஸ்டுக்கு வருகிறது மற்றும் அது ஒரு இயற்பியல் பிணைய இடைமுகத்திலிருந்து வந்ததைப் போலவே செயலாக்கப்படுகிறது. இயல்பாக, காலிகோ இந்த இடைமுகங்களுக்கு caliXXX என்று பெயரிடுகிறது. ட்ராஃபிக் விர்ச்சுவல் இன்டர்ஃபேஸ் மூலம் வருவதால், பாட் ஒரு ஹாப் தொலைவில் இருப்பது போல் அது iptables வழியாக செல்கிறது. எனவே, ட்ராஃபிக் ஒரு பாட்/இலிருந்து வரும்போது, அது ஹோஸ்ட்டின் பார்வையில் இருந்து அனுப்பப்படும்.

காலிகோவில் இயங்கும் குபெர்னெட்ஸ் முனையில், நீங்கள் ஒரு மெய்நிகர் இடைமுகத்தை (veth) ஒரு பணிச்சுமைக்கு பின்வருமாறு வரைபடமாக்கலாம். கீழேயுள்ள எடுத்துக்காட்டில், காலிகோ-கண்காணிப்பு பெயர்வெளியில் cnx-manager-* உடன் veth#10 (calic1cbf1ca0f8) இணைக்கப்பட்டிருப்பதைக் காணலாம்.

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

ஒவ்வொரு பணிச்சுமைக்கும் காலிகோ ஒரு வெத் இடைமுகத்தை உருவாக்குவதால், அது எவ்வாறு கொள்கைகளைச் செயல்படுத்துகிறது? இதைச் செய்ய, காலிகோ iptables ஐப் பயன்படுத்தி பாக்கெட் செயலாக்க பாதையின் பல்வேறு சங்கிலிகளில் கொக்கிகளை உருவாக்குகிறது.

கீழே உள்ள வரைபடம் iptables (அல்லது netfilter துணை அமைப்பில்) பாக்கெட் செயலாக்கத்தில் ஈடுபட்டுள்ள சங்கிலிகளைக் காட்டுகிறது. ஒரு பிணைய இடைமுகம் மூலம் ஒரு பாக்கெட் வரும் போது, அது முதலில் PREROUTING சங்கிலி வழியாக செல்கிறது. ஒரு ரூட்டிங் முடிவு எடுக்கப்படுகிறது, இதன் அடிப்படையில், பாக்கெட் INPUT (ஹோஸ்ட் செயல்முறைகளுக்கு இயக்கப்பட்டது) அல்லது FORWARD (நெட்வொர்க்கில் ஒரு பாட் அல்லது மற்றொரு முனைக்கு இயக்கப்பட்டது) வழியாக செல்கிறது. உள்ளூர் செயல்முறையிலிருந்து, கேபிளை அனுப்புவதற்கு முன், பாக்கெட் அவுட்புட் மற்றும் பின் POSTROUTING சங்கிலி வழியாக செல்கிறது.

iptables செயலாக்கத்தின் அடிப்படையில் பாட் ஒரு வெளிப்புற நிறுவனம் (veth உடன் இணைக்கப்பட்டுள்ளது) என்பதை நினைவில் கொள்ளவும். சுருக்கமாகக் கூறுவோம்:

முன்னோக்கி போக்குவரத்து (நேட், ரூட் அல்லது ஒரு பாட்/இருந்து) ப்ரீரூட்டிங் - ஃபார்வேர்ட் - போஸ்ட்ரூட்டிங் சங்கிலிகள் வழியாக செல்கிறது.
உள்ளூர் ஹோஸ்ட் செயல்முறைக்கான போக்குவரத்து, PREROUTING - INPUT சங்கிலி வழியாக செல்கிறது.
உள்ளூர் ஹோஸ்ட் செயல்முறையிலிருந்து வரும் போக்குவரத்து அவுட்புட் - POSTROUTING சங்கிலி வழியாக செல்கிறது.

அனைத்து சங்கிலிகளிலும் கொள்கைகளைப் பயன்படுத்த உங்களை அனுமதிக்கும் கொள்கை விருப்பங்களை காலிகோ வழங்குகிறது. அதை மனதில் கொண்டு, காலிகோவில் கிடைக்கும் பல்வேறு கொள்கை உள்ளமைவு விருப்பங்களைப் பார்ப்போம். கீழே உள்ள விருப்பங்களின் பட்டியலில் உள்ள எண்கள் மேலே உள்ள வரைபடத்தில் உள்ள எண்களுடன் ஒத்திருக்கும்.

பணிச்சுமை இறுதிப்புள்ளி (pod) கொள்கை
ஹோஸ்ட் எண்ட்பாயிண்ட் பாலிசி
ApplyOnForward விருப்பம்
PreDNAT கொள்கை
கண்காணிக்கப்படாத கொள்கை

பணிச்சுமை முடிவுப்புள்ளிகளுக்கு (குபெர்னெட்டஸ் பாட்ஸ் அல்லது ஓபன்ஸ்டாக் விஎம்கள்) கொள்கைகள் எவ்வாறு பயன்படுத்தப்படுகின்றன என்பதைப் பார்ப்பதன் மூலம் தொடங்குவோம், பின்னர் ஹோஸ்ட் எண்ட்பாயிண்ட்களுக்கான கொள்கை விருப்பங்களைப் பார்க்கலாம்.

பணிச்சுமை இறுதிப் புள்ளிகள்

பணிச்சுமை இறுதிப் புள்ளி கொள்கை (1)

இது உங்கள் குபெர்னெட்ஸ் காய்களைப் பாதுகாப்பதற்கான ஒரு விருப்பமாகும். குபெர்னெட்ஸ் நெட்வொர்க் பாலிசியுடன் பணிபுரிவதை காலிகோ ஆதரிக்கிறது, ஆனால் இது கூடுதல் கொள்கைகளையும் வழங்குகிறது - காலிகோ நெட்வொர்க் பாலிசி மற்றும் குளோபல்நெட்வொர்க் பாலிசி. காலிகோ ஒவ்வொரு நெற்றுக்கும் (பணிச்சுமை) ஒரு சங்கிலியை உருவாக்குகிறது மற்றும் முன்னோக்கி சங்கிலியின் வடிகட்டி அட்டவணையில் பணிச்சுமைக்கான INPUT மற்றும் OUTPUT சங்கிலிகளில் இணைக்கிறது.

ஹோஸ்ட் எண்ட்பாயிண்ட்ஸ்

ஹோஸ்ட் எண்ட்பாயிண்ட் பாலிசி (2)

CNI (கன்டெய்னர் நெட்வொர்க் இடைமுகம்) க்கு கூடுதலாக, காலிகோ கொள்கைகள் ஹோஸ்ட்டையே பாதுகாக்கும் திறனை வழங்குகிறது. காலிகோவில், ஹோஸ்ட் இடைமுகம் மற்றும் தேவைப்பட்டால் போர்ட் எண்களின் கலவையைக் குறிப்பிடுவதன் மூலம் ஹோஸ்ட் எண்ட்பாயிண்ட்டை உருவாக்கலாம். இந்த நிறுவனத்திற்கான கொள்கை அமலாக்கம் INPUT மற்றும் OUTPUT சங்கிலிகளில் உள்ள வடிகட்டி அட்டவணையைப் பயன்படுத்தி அடையப்படுகிறது. வரைபடத்திலிருந்து நீங்கள் பார்க்க முடியும் என, (2) அவை முனை/ஹோஸ்டில் உள்ள உள்ளூர் செயல்முறைகளுக்குப் பொருந்தும். அதாவது, ஹோஸ்ட் எண்ட்பாயிண்டிற்குப் பொருந்தும் கொள்கையை நீங்கள் உருவாக்கினால், அது உங்கள் காய்களுக்குச் செல்லும்/போகும் போக்குவரத்தைப் பாதிக்காது. ஆனால் காலிகோ கொள்கைகளைப் பயன்படுத்தி உங்கள் ஹோஸ்ட் மற்றும் பாட்களுக்கான டிராஃபிக்கைத் தடுப்பதற்கான ஒற்றை இடைமுகம்/தொடரியலை இது வழங்குகிறது. இது ஒரு பன்முக நெட்வொர்க்கிற்கான கொள்கைகளை நிர்வகிக்கும் செயல்முறையை பெரிதும் எளிதாக்குகிறது. கிளஸ்டர் பாதுகாப்பை மேம்படுத்த ஹோஸ்ட் எண்ட்பாயிண்ட் கொள்கைகளை உள்ளமைப்பது மற்றொரு முக்கியமான பயன்பாடாகும்.

அப்ளை ஆன்ஃபார்வர்ட் பாலிசி (3)

ApplyOnForward விருப்பம் காலிகோ குளோபல் நெட்வொர்க் பாலிசியில் கிடைக்கிறது, ஹோஸ்ட் எண்ட்பாயிண்ட் வழியாக செல்லும் அனைத்து ட்ராஃபிக்கிற்கும் கொள்கைகளைப் பயன்படுத்த அனுமதிக்கும், ஹோஸ்டால் அனுப்பப்படும் ட்ராஃபிக் உட்பட. லோக்கல் பாட் அல்லது நெட்வொர்க்கில் வேறு எங்கும் அனுப்பப்படும் ட்ராஃபிக் இதில் அடங்கும். PreDNAT ஐப் பயன்படுத்தும் கொள்கைகளுக்கு இந்த அமைப்பை இயக்க வேண்டும் மற்றும் கண்காணிக்கப்படவில்லை, பின்வரும் பிரிவுகளைப் பார்க்கவும். கூடுதலாக, ஒரு மெய்நிகர் திசைவி அல்லது மென்பொருள் NAT பயன்படுத்தப்படும் சந்தர்ப்பங்களில் ஹோஸ்ட் டிராஃபிக்கைக் கண்காணிக்க ApplyOnForward பயன்படுத்தப்படலாம்.

ஹோஸ்ட் செயல்முறைகள் மற்றும் பாட்கள் இரண்டிற்கும் ஒரே நெட்வொர்க் கொள்கையைப் பயன்படுத்த வேண்டும் என்றால், நீங்கள் ApplyOnForward விருப்பத்தைப் பயன்படுத்த வேண்டியதில்லை என்பதை நினைவில் கொள்ளவும். தேவையான ஹோஸ்டெண்ட்பாயிண்ட் மற்றும் பணிச்சுமை எண்ட்பாயிண்ட் (பாட்) ஆகியவற்றிற்கான லேபிளை உருவாக்கினால் போதும். இறுதிப்புள்ளி வகையைப் பொருட்படுத்தாமல் (ஹோஸ்டெண்ட்பாயிண்ட் அல்லது பணிச்சுமை) லேபிள்களின் அடிப்படையில் கொள்கையைச் செயல்படுத்தும் அளவுக்கு காலிகோ புத்திசாலி.

PreDNAT கொள்கை (4)

குபெர்னெட்டஸில், சேவை நிறுவன போர்ட்களை NodePorts விருப்பத்தைப் பயன்படுத்தி அல்லது விருப்பமாக (Calico ஐப் பயன்படுத்தும் போது) கிளஸ்டர் IPகள் அல்லது வெளிப்புற IPகள் விருப்பங்களைப் பயன்படுத்தி விளம்பரப்படுத்துவதன் மூலம் வெளிப்புறமாக வெளிப்படுத்தலாம். க்யூப்-ப்ராக்ஸி டிஎன்ஏடியைப் பயன்படுத்தி தொடர்புடைய சேவையின் காய்களுக்கு ஒரு சேவையுடன் இணைக்கப்பட்ட உள்வரும் போக்குவரத்தை சமநிலைப்படுத்துகிறது. இதைக் கருத்தில் கொண்டு, NodePorts மூலம் வரும் போக்குவரத்திற்கான கொள்கைகளை எவ்வாறு செயல்படுத்துவது? டிஎன்ஏடி (ஹோஸ்ட்:போர்ட் மற்றும் தொடர்புடைய சேவைக்கு இடையேயான மேப்பிங் இது) டிராஃபிக்கை செயலாக்கும் முன் இந்தக் கொள்கைகள் பயன்படுத்தப்படுவதை உறுதிசெய்ய, காலிகோ குளோபல்நெட்வொர்க் பாலிசிக்கு "preDNAT: true" எனப்படும் அளவுருவை வழங்குகிறது.

ப்ரீ-டிஎன்ஏடி இயக்கப்பட்டால், இந்தக் கொள்கைகள் டிஎன்ஏடிக்கு முன், வரைபடத்தில் (4)-பிரிரூட்டிங் சங்கிலியின் மேங்கிள் டேபிளில்-உடனடியாக செயல்படுத்தப்படும். இந்தக் கொள்கைகளின் பயன்பாடு போக்குவரத்துச் செயலாக்கப் பாதையில் மிகவும் முன்னதாகவே நிகழும் என்பதால், வழக்கமான கொள்கைகளின் வரிசை இங்கே பின்பற்றப்படவில்லை. இருப்பினும், preDNAT கொள்கைகள் தங்களுக்குள் பயன்பாட்டின் வரிசையை மதிக்கின்றன.

டிஎன்ஏடிக்கு முந்தைய கொள்கைகளை உருவாக்கும் போது, நீங்கள் செயலாக்க விரும்பும் போக்குவரத்தைப் பற்றி கவனமாக இருக்க வேண்டும் மற்றும் பெரும்பான்மையை நிராகரிக்க அனுமதிக்க வேண்டும். டிஎன்ஏடிக்கு முந்தைய கொள்கையில் 'அனுமதி' எனக் குறிக்கப்பட்ட டிராஃபிக்கை இனி ஹோஸ்டெண்ட்பாயிண்ட் பாலிசியால் சரிபார்க்க முடியாது, அதே சமயம் டிஎன்ஏடிக்கு முந்தைய கொள்கையில் தோல்வியுற்ற போக்குவரத்து மீதமுள்ள சங்கிலிகள் வழியாக தொடரும்.
ப்ரீடிஎன்ஏடியைப் பயன்படுத்தும் போது, அப்ளைஆன்ஃபார்வர்ட் விருப்பத்தை இயக்குவதை காலிகோ கட்டாயமாக்கியுள்ளது, ஏனெனில் டிராஃபிக்கின் இலக்கு இன்னும் தேர்ந்தெடுக்கப்படவில்லை. போக்குவரத்தை ஹோஸ்ட் செயல்முறைக்கு அனுப்பலாம் அல்லது அது ஒரு பாட் அல்லது மற்றொரு முனைக்கு அனுப்பப்படலாம்.

கண்காணிக்கப்படாத கொள்கை (5)

நெட்வொர்க்குகள் மற்றும் பயன்பாடுகள் நடத்தையில் பெரிய வேறுபாடுகளைக் கொண்டிருக்கலாம். சில தீவிர நிகழ்வுகளில், பயன்பாடுகள் பல குறுகிய கால இணைப்புகளை உருவாக்கலாம். இது கான்ட்ராக் (லினக்ஸ் நெட்வொர்க்கிங் ஸ்டேக்கின் முக்கிய கூறு) நினைவகம் தீர்ந்துவிடும். பாரம்பரியமாக, லினக்ஸில் இந்த வகையான பயன்பாடுகளை இயக்க, நீங்கள் கைமுறையாக கான்ட்ராக்கை உள்ளமைக்க வேண்டும் அல்லது முடக்க வேண்டும், அல்லது கான்ட்ராக் பைபாஸ் செய்ய iptables விதிகளை எழுத வேண்டும். நீங்கள் முடிந்தவரை விரைவாக இணைப்புகளைச் செயல்படுத்த விரும்பினால், காலிகோவில் கண்காணிக்கப்படாத கொள்கை எளிமையான மற்றும் திறமையான விருப்பமாகும். உதாரணமாக, நீங்கள் பாரிய பயன்படுத்தினால் மெம்கேச் அல்லது எதிராக கூடுதல் பாதுகாப்பு நடவடிக்கையாக DDOS.

இதை படிக்கவும் வலைப்பதிவை (அல்லது எங்கள் மொழிபெயர்ப்பு) கண்காணிக்கப்படாத கொள்கையைப் பயன்படுத்தி செயல்திறன் சோதனைகள் உட்பட மேலும் தகவலுக்கு.

காலிகோ குளோபல்நெட்வொர்க் பாலிசியில் "doNotTrack: true" விருப்பத்தை நீங்கள் அமைக்கும் போது, அது **ட்ராக் செய்யப்படாத** கொள்கையாக மாறும் மற்றும் Linux பாக்கெட் செயலாக்க பைப்லைனில் மிக ஆரம்பத்தில் பயன்படுத்தப்படும். மேலே உள்ள வரைபடத்தைப் பார்க்கும்போது, இணைப்பு கண்காணிப்பு (கான்ட்ராக்) தொடங்குவதற்கு முன், ரா அட்டவணையில் உள்ள PREROUTING மற்றும் OUTPUT சங்கிலிகளில் கண்காணிக்கப்படாத கொள்கைகள் பயன்படுத்தப்படும். கண்காணிக்கப்படாத கொள்கையால் ஒரு பாக்கெட் அனுமதிக்கப்படும் போது, அந்த பாக்கெட்டுக்கான இணைப்பு கண்காணிப்பை முடக்க அது குறிக்கப்படும். இதன் பொருள்:

கண்காணிக்கப்படாத கொள்கை ஒரு பாக்கெட் அடிப்படையில் பயன்படுத்தப்படுகிறது. இணைப்பு (அல்லது ஓட்டம்) பற்றிய கருத்து இல்லை. இணைப்புகளின் பற்றாக்குறை பல முக்கியமான விளைவுகளை ஏற்படுத்துகிறது:
கோரிக்கை மற்றும் மறுமொழி போக்குவரத்தை நீங்கள் அனுமதிக்க விரும்பினால், உள்வரும் மற்றும் வெளிச்செல்லும் இரண்டுக்கும் உங்களுக்கு ஒரு விதி தேவை (காலிகோ பொதுவாக மறுமொழி போக்குவரத்தை அனுமதிக்கப்பட்டதாகக் குறிக்க கான்ட்ராக்கைப் பயன்படுத்துவதால்).
கண்காணிக்கப்படாத கொள்கையானது குபெர்னெட்டஸ் பணிச்சுமைகளுக்கு (காய்கள்) வேலை செய்யாது, ஏனெனில் இந்த விஷயத்தில் பாடில் இருந்து வெளியேறும் இணைப்பைக் கண்காணிக்க வழி இல்லை.
கண்காணிக்கப்படாத பாக்கெட்டுகளுடன் NAT சரியாக வேலை செய்யாது (கர்னல் NAT மேப்பிங்கை கன்ட்ராக்கில் சேமித்து வைப்பதால்).
கண்காணிக்கப்படாத கொள்கையில் "அனைவரையும் அனுமதி" விதியைக் கடக்கும்போது, எல்லா பாக்கெட்டுகளும் கண்காணிக்கப்படவில்லை எனக் குறிக்கப்படும். இது எப்போதும் நீங்கள் விரும்புவது இல்லை, எனவே கண்காணிக்கப்படாத கொள்கைகளால் அனுமதிக்கப்படும் பாக்கெட்டுகளைப் பற்றி மிகவும் தேர்ந்தெடுக்கப்பட்டிருப்பது முக்கியம் (மற்றும் பெரும்பாலான ட்ராஃபிக்கை சாதாரண கண்காணிக்கப்பட்ட கொள்கைகள் வழியாக செல்ல அனுமதிக்கவும்).
பாக்கெட் செயலாக்க பைப்லைனின் ஆரம்பத்திலேயே கண்காணிக்கப்படாத கொள்கைகள் பயன்படுத்தப்படுகின்றன. காலிகோ கொள்கைகளை உருவாக்கும்போது இதைப் புரிந்துகொள்வது மிகவும் முக்கியம். நீங்கள் ஆர்டர்:1 உடன் பாட் பாலிசியையும், ஆர்டர்:1000 உடன் கண்காணிக்கப்படாத பாலிசியையும் வைத்திருக்கலாம். பரவாயில்லை. காய்களுக்கான பாலிசிக்கு முன் கண்காணிக்கப்படாத பாலிசி பயன்படுத்தப்படும். கண்காணிக்கப்படாத கொள்கைகள் தங்களுக்குள் மட்டுமே செயல்படுத்தும் ஒழுங்கை மதிக்கின்றன.

doNotTrack கொள்கையின் நோக்கங்களில் ஒன்று லினக்ஸ் பாக்கெட் செயலாக்க பைப்லைனில் கொள்கையை மிக விரைவாக செயல்படுத்துவதாகும் என்பதால், doNotTrack ஐப் பயன்படுத்தும் போது ApplyOnForward விருப்பத்தைக் குறிப்பிடுவதை Calico கட்டாயமாக்குகிறது. பாக்கெட் செயலாக்க வரைபடத்தைக் குறிப்பிடுகையில், எந்த ரூட்டிங் முடிவுகளுக்கும் முன், கண்காணிக்கப்படாத(5) கொள்கை பயன்படுத்தப்படும் என்பதை நினைவில் கொள்ளவும். போக்குவரத்தை ஹோஸ்ட் செயல்முறைக்கு அனுப்பலாம் அல்லது அது ஒரு பாட் அல்லது மற்றொரு முனைக்கு அனுப்பப்படலாம்.

முடிவுகளை

காலிகோவில் உள்ள பல்வேறு கொள்கை விருப்பங்கள் (ஹோஸ்ட் எண்ட்பாயிண்ட், அப்ளைஆன்ஃபார்வர்ட், ப்ரீடிஎன்ஏடி மற்றும் அன்ட்ராக்ட்) மற்றும் அவை பாக்கெட் செயலாக்க பாதையில் எவ்வாறு பயன்படுத்தப்படுகின்றன என்பதைப் பார்த்தோம். அவை எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்துகொள்வது பயனுள்ள மற்றும் பாதுகாப்பான கொள்கைகளை உருவாக்க உதவுகிறது. காலிகோ மூலம் நீங்கள் ஒரு லேபிளுக்கு (நோட்கள் மற்றும் காய்களின் குழு) பொருந்தும் உலகளாவிய நெட்வொர்க் கொள்கையைப் பயன்படுத்தலாம் மற்றும் பல்வேறு அளவுருக்கள் கொண்ட கொள்கைகளைப் பயன்படுத்தலாம். இது Calico கொள்கைகளுடன் ஒரே கொள்கை மொழியைப் பயன்படுத்தி "எல்லாவற்றையும்" (இறுதிப்புள்ளி வகைகள்) வசதியாகப் பாதுகாக்க பாதுகாப்பு மற்றும் நெட்வொர்க் வடிவமைப்பு நிபுணர்களை அனுமதிக்கிறது.

அங்கீகாரம்: நான் நன்றி சொல்ல விரும்புகிறேன் சீன் கிராம்ப்டன் и அலெக்சா பொல்லிட்டா அவர்களின் மதிப்பாய்வு மற்றும் மதிப்புமிக்க தகவல்களுக்கு.

ஆதாரம்: www.habr.com

காலிகோவுடன் நெட்வொர்க் கொள்கை விருப்பங்களைப் புரிந்துகொள்வது