קאַליקאָ פֿאַר נעטוואָרקינג אין Kubernetes: הקדמה און אַ ביסל דערפאַרונג

דער ציל פון דעם אַרטיקל איז צו באַקענען די לייענער צו די באַסיקס פון נעטוואָרקינג און אָנפירונג נעץ פּאַלאַסיז אין Kubernetes, ווי געזונט ווי די דריט-פּאַרטיי Calico פּלוגין וואָס יקסטענדז נאָרמאַל קייפּאַבילאַטיז. צוזאמען די וועג, די יז פון קאַנפיגיעריישאַן און עטלעכע פֿעיִקייטן וועט זיין דעמאַנסטרייטיד מיט פאַקטיש ביישפילן פון אונדזער אַפּערייטינג דערפאַרונג.

א שנעל הקדמה צו Kubernetes נעטוואָרקינג אַפּפּליאַנסע

א קובערנעטעס קנויל קענען ניט זיין ימאַדזשאַנד אָן אַ נעץ. מיר האָבן שוין ארויס מאַטעריאַלס אויף זייער באַסיקס: "אַן אילוסטרירטע פירער צו נעטוואָרקינג אין Kubernetes"און"אַ הקדמה צו Kubernetes נעטוואָרק פּאַלאַסיז פֿאַר זיכערהייט פּראָפעססיאָנאַלס'.

אין דעם קאָנטעקסט פון דעם אַרטיקל, עס איז וויכטיק צו טאָן אַז K8s זיך איז נישט פאַראַנטוואָרטלעך פֿאַר נעץ קאַנעקטיוויטי צווישן קאַנטיינערז און נאָודז: פֿאַר דעם, פאַרשידן CNI פּלוגינס (Container Networking Interface). מער וועגן דעם באַגריף מיר זיי האָבן מיר אויך געזאָגט.

פֿאַר בייַשפּיל, די מערסט פּראָסט פון די פּלוגינס איז פלאַנאַל - גיט פול נעץ קאַנעקטיוויטי צווישן אַלע קנויל נאָודז דורך רייזינג בריקן אויף יעדער נאָדע, אַסיינינג אַ סובנעט צו עס. אָבער, גאַנץ און אַנרעגיאַלייטיד אַקסעסאַביליטי איז ניט שטענדיק וווילטויק. צו צושטעלן אַ מין פון מינימאַל אפגעזונדערטקייט אין דעם קנויל, עס איז נייטיק צו ינערווין אין די קאַנפיגיעריישאַן פון די פיירוואַל. אין אַלגעמיין, עס איז געשטעלט אונטער די קאָנטראָל פון דער זעלביקער CNI, וואָס איז וואָס קיין ינטערווענטשאַנז פון דריט-פּאַרטיי אין יפּטאַבלעס קענען זיין ינטערפּראַטאַד פאַלש אָדער איגנאָרירט גאָר.

און "אויס פון די קעסטל" פֿאַר אָרגאַנייזינג נעץ פּאָליטיק פאַרוואַלטונג אין אַ Kubernetes קנויל איז צוגעשטעלט נעטוואָרק פּאָליטיק אַפּי. די מיטל, פונאנדערגעטיילט איבער אויסגעקליבן נאָמען ספּייסאַז, קען אַנטהאַלטן כּללים צו דיפערענשיייט אַקסעס פון איין אַפּלאַקיישאַן צו אנדערן. עס אויך אַלאַוז איר צו קאַנפיגיער אַקסעסאַביליטי צווישן ספּעציפיש פּאָדס, ינווייראַנמאַנץ (נאַמעספּאַסעס) אָדער בלאַקס פון IP אַדרעסעס:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

דאָס איז נישט די מערסט פּרימיטיוו בייַשפּיל פון באַאַמטער דאַקיומענטיישאַן קען אַמאָל און פֿאַר אַלע דיסקערידזש די פאַרלאַנג צו פֿאַרשטיין די לאָגיק פון ווי נעץ פּאַלאַסיז אַרבעט. אָבער, מיר וועלן נאָך פּרובירן צו פֿאַרשטיין די גרונט פּרינסאַפּאַלז און מעטהאָדס פון פּראַסעסינג פאַרקער פלאָוז ניצן נעץ פּאַלאַסיז ...

עס איז לאַדזשיקאַל אַז עס זענען 2 טייפּס פון פאַרקער: אַרייַן די פּאָד (ינגרעסס) און אַוטגאָוינג פון עס (עגרעסס).

אַקטואַללי, פּאָליטיק איז צעטיילט אין די 2 קאַטעגאָריעס באזירט אויף דער ריכטונג פון באַוועגונג.

דער ווייַטער פארלאנגט אַטריביוט איז אַ סעלעקטאָר; דער, אויף וועמען דער כלל גייט. דאָס קען זיין אַ פּאָד (אָדער אַ גרופּע פון ​​פּאָדס) אָדער אַ סוויווע (ד"ה אַ נאַמעספּאַסע). אַ וויכטיק דעטאַל: ביידע טייפּס פון די אַבדזשעקץ מוזן אַנטהאַלטן אַ פירמע (פירמע אין Kubernetes טערמינאָלאָגיע) - דאָס זענען די וואָס פּאַלאַטישאַנז אַרבעטן מיט.

אין אַדישאַן צו אַ ענדלעך נומער פון סעלעקטאָרס פֿאַראייניקטע דורך עטלעכע סאָרט פון פירמע, עס איז מעגלעך צו שרייַבן כּללים ווי "לאָזן / לייקענען אַלץ / אַלעמען" אין פאַרשידענע ווערייישאַנז. פֿאַר דעם צוועק, קאַנסטראַקשאַנז פון די פאָרעם זענען געניצט:

  podSelector: {}
  ingress: []
  policyTypes:
  - Ingress

- אין דעם בייַשפּיל, אַלע פּאָדס אין די סוויווע זענען אפגעשטעלט פון ינקאַמינג פאַרקער. די פאַרקערט נאַטור קענען זיין אַטשיווד מיט די פאלגענדע קאַנסטראַקשאַן:

  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

סימילאַרלי פֿאַר אַוטגאָוינג:

  podSelector: {}
  policyTypes:
  - Egress

- צו קער עס אַוועק. און דאָ ס וואָס צו אַרייַננעמען:

  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

צוריק צו די ברירה פון אַ CNI פּלוגין פֿאַר אַ קנויל, עס איז כדאי צו באמערקן אַז ניט יעדער נעץ פּלוגין שטיצט NetworkPolicy. פֿאַר בייַשפּיל, די שוין דערמאנט פלאַנאַל טוט נישט וויסן ווי צו קאַנפיגיער נעץ פּאַלאַסיז, ​​וואָס עס איז געזאגט גלייַך אין דער באַאַמטער ריפּאַזאַטאָרי. אַן אָלטערנאַטיוו איז אויך דערמאנט דאָרט - אַן עפֿן מקור פּרויעקט קאַליקאָ, וואָס באטייטיק יקספּאַנדז די נאָרמאַל גאַנג פון Kubernetes APIs אין טערמינען פון נעץ פּאַלאַסיז.

באַקומען צו וויסן קאַליקאָ: טעאָריע

די קאַליקאָ פּלוגין קענען זיין געוויינט אין ינאַגריישאַן מיט פלאַנאַל (סובפּראָדזשעקט קאַנאַל) אָדער ינדיפּענדאַנטלי, קאַווערינג ביידע נעץ קאַנעקטיוויטי און אַוויילאַביליטי פאַרוואַלטונג קייפּאַבילאַטיז.

וואָס אַפּערטונאַטיז גיט ניצן די K8s "באָקסעד" לייזונג און די אַפּי שטעלן פון Calico?

דאָ ס וואָס איז געבויט אין נעטוואָרק פּאָליטיק:

• פּאַלאַטישאַנז זענען באגרענעצט דורך די סוויווע;
• פּאַלאַסיז זענען געווענדט צו פּאָדס אנגעצייכנט מיט לאַבעלס;
• כּללים קענען זיין געווענדט צו פּאָדס, ינווייראַנמאַנץ אָדער סובנעץ;
• כּללים קענען אַנטהאַלטן פּראָטאָקאָלס, געהייסן אָדער סימבאָליש פּאָרט ספּעסאַפאַקיישאַנז.

דאָ ס ווי קאַליקאָ יקסטענדז די פאַנגקשאַנז:

• פּאַלאַסיז קענען זיין געווענדט צו קיין כייפעץ: פּאָד, קאַנטיינער, ווירטואַל מאַשין אָדער צובינד;
• כּללים קענען אַנטהאַלטן אַ ספּעציפיש קאַמף (פאַרווער, דערלויבעניש, לאָגינג);
• דער ציל אָדער מקור פון כּללים קענען זיין אַ פּאָרט, אַ קייט פון פּאָרץ, פּראָטאָקאָלס, הטטפּ אָדער ICMP אַטריביוץ, IP אָדער סובנעט (4 אָדער 6 דור), קיין סעלעקטאָרס (נאָדעס, מחנות, ינווייראַנמאַנץ);
• אַדדיטיאָנאַללי, איר קענען רעגולירן די דורכפאָר פון פאַרקער ניצן DAT סעטטינגס און פאַרקער פאָרווערדינג פּאַלאַסיז.

דער ערשטער קאַמיץ אויף GitHub אין די קאַליקאָ ריפּאַזאַטאָרי דאַטעס צוריק צו יולי 2016, און אַ יאָר שפּעטער די פּרויעקט גענומען אַ לידינג שטעלע אין אָרגאַנייזינג קובערנעטעס נעץ קאַנעקטיוויטי - דאָס איז עווידאַנסט, למשל, דורך די יבערבליק רעזולטאַטן, געפירט דורך די ניו סטאַק:

פילע גרויס געראטן סאַלושאַנז מיט K8s, אַזאַ ווי אַמאַזאָן עקס, Azure AKS, גוגל GKE און אנדערע אנגעהויבן צו רעקאָמענדירן עס פֿאַר נוצן.

ווי פֿאַר פאָרשטעלונג, אַלץ איז גרויס דאָ. אין טעסטינג זייער פּראָדוקט, די קאַליקאָ אַנטוויקלונג מאַנשאַפֿט דעמאַנסטרייטיד אַסטראַנאַמיקאַל פאָרשטעלונג, פליסנדיק מער ווי 50000 קאַנטיינערז אויף 500 גשמיות נאָודז מיט אַ שאַפונג קורס פון 20 קאַנטיינערז פּער סעקונדע. קיין פראבלעמען זענען יידענאַפייד מיט סקיילינג. אזעלכע רעזולטאטן זענען מודיע געווען שוין ביי די מעלדן פון דער ערשטער ווערסיע. פרייַ שטודיום פאָוקיסינג אויף טרופּוט און מיטל קאַנסאַמשאַן אויך באַשטעטיקן די פאָרשטעלונג פון Calico איז קימאַט ווי גוט ווי פלאַנאַל. לעמאָשל:

די פּרויעקט איז דעוועלאָפּינג זייער געשווינד, עס שטיצט אַרבעט אין פאָלקס סאַלושאַנז געראטן K8s, OpenShift, OpenStack, עס איז מעגלעך צו נוצן Calico ווען דיפּלויינג אַ קנויל ניצן kops, עס זענען רעפערענצן צו די קאַנסטראַקשאַן פון סערוויס מעש נעטוואָרקס (דאָ איז אַ בייַשפּיל געוויינט אין קאַנדזשאַנגקשאַן מיט Istio).

פּראַקטיסיז מיט קאַליקאָ

אין אַלגעמיין פאַל פון ניצן וואַניל קובערנעטעס, ינסטאָלינג CNI קומט אַראָפּ צו נוצן די טעקע calico.yaml, דאַונלאָודיד פון דער באַאַמטער וועבזייַטל, דורך נוצן kubectl apply -f.

ווי אַ הערשן, די קראַנט ווערסיע פון ​​די פּלוגין איז קאַמפּאַטאַבאַל מיט די לעצטע 2-3 ווערסיעס פון Kubernetes: אָפּעראַציע אין עלטערע ווערסיעס איז נישט טעסטעד און איז נישט געראַנטיד. לויט די דעוועלאָפּערס, Calico לויפט אויף לינוקס קערנאַלז העכער 3.10 מיט CentOS 7, Ubuntu 16 אָדער Debian 8, אויף שפּיץ פון יפּטאַבלעס אָדער IPVS.

אפגעזונדערטקייט אין דער סביבה

פֿאַר אַ גענעראַל פארשטאנד, לאָמיר קוקן אין אַ פּשוט פאַל צו פֿאַרשטיין ווי נעץ פּאַלאַסיז אין די קאַליקאָ נאָוטיישאַן זענען אַנדערש פון נאָרמאַל אָנעס און ווי דער צוגאַנג צו שאַפֿן כּללים סימפּלאַפייז זייער רידאַביליטי און קאַנפיגיעריישאַן בייגיקייט:

עס זענען 2 וועב אַפּלאַקיישאַנז דיפּלויד אין דעם קנויל: אין Node.js און PHP, איינער פון וואָס ניצט Redis. צו פאַרשפּאַרן אַקסעס צו Redis פֿון PHP, בשעת איר האַלטן קאַנעקטיוויטי מיט Node.js, נאָר צולייגן די פאלגענדע פּאָליטיק:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-redis-nodejs
spec:
  podSelector:
    matchLabels:
      service: redis
  ingress:
  - from:
    - podSelector:
        matchLabels:
          service: nodejs
    ports:
    - protocol: TCP
      port: 6379

יסענשאַלי, מיר ערלויבט ינקאַמינג פאַרקער צו די Redis פּאָרט פֿון Node.js. און זיי האבן קלאר נישט פארבאטן עפעס אנדערש. ווי באַלד ווי NetworkPolicy איז ארויס, אַלע סעלעקטאָרס דערמאנט אין עס אָנהייבן צו זיין אפגעזונדערט, סייַדן אַנדערש ספּעסיפיעד. אָבער, די אפגעזונדערטקייט כּללים טאָן ניט צולייגן צו אנדערע אַבדזשעקץ וואָס זענען נישט באדעקט דורך די סעלעקטאָר.

די ביישפּיל ניצט apiVersion קובערנעטעס אויס פון די קעסטל, אָבער גאָרנישט פּריווענץ איר פון ניצן עס מיטל פון די זעלבע נאָמען פון די קאַליקאָ עקספּרעס. דער סינטאַקס דאָרט איז מער דיטיילד, אַזוי איר וועט דאַרפֿן צו רירייט די הערשן פֿאַר די אויבן פאַל אין די פאלגענדע פאָרעם:

apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
  name: allow-redis-nodejs
spec:
  selector: service == 'redis'
  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: service == 'nodejs'
    destination:
      ports:
      - 6379

די אויבן-דערמאנט קאַנסטראַקשאַנז פֿאַר אַלאַוינג אָדער פארלייקענען אַלע פאַרקער דורך די רעגולער NetworkPolicy API אַנטהאַלטן קאַנסטראַקשאַנז מיט קלאַמערן וואָס זענען שווער צו פֿאַרשטיין און געדענקען. אין די פאַל פון Calico, צו טוישן די לאָגיק פון אַ פיירוואַל הערשן צו די פאַרקערט, נאָר טוישן action: Allow אויף action: Deny.

אפגעזונדערטקייט דורך סוויווע

איצט ימאַדזשאַן אַ סיטואַציע ווו אַ אַפּלאַקיישאַן דזשענערייץ געשעפט מעטריקס פֿאַר זאַמלונג אין פּראָמעטהעוס און ווייַטער אַנאַליסיס מיט Grafana. די ופּלאָאַד קען אַנטהאַלטן שפּירעוודיק דאַטן, וואָס איז ווידער עפנטלעך קענטיק דורך פעליקייַט. זאל ס באַהאַלטן די דאַטן פון פּריינג אויגן:

פּראָמעטהעוס, ווי אַ הערשן, איז געשטעלט אין אַ באַזונדער דינסט סוויווע - אין דעם בייַשפּיל, עס וועט זיין אַ נאַמעספּאַסע ווי דאָס:

apiVersion: v1
kind: Namespace
metadata:
  labels:
    module: prometheus
  name: kube-prometheus

פעלד metadata.labels דאָס האָט זיך אַרויסגעוויזן נישט קיין צופאַל. ווי דערמאנט אויבן, namespaceSelector (ווי אויך podSelector) אַפּערייץ מיט לאַבעלס. דעריבער, צו לאָזן מעטריקס צו זיין גענומען פון אַלע פּאָדס אויף אַ ספּעציפיש פּאָרט, איר וועט האָבן צו לייגן עטלעכע סאָרט פון פירמע (אָדער נעמען פון יגזיסטינג אָנעס) און צולייגן אַ קאַנפיגיעריישאַן ווי:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-metrics-prom
spec:
  podSelector: {}
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          module: prometheus
    ports:
    - protocol: TCP
      port: 9100

און אויב איר נוצן קאַליקאָ פּאַלאַסיז, ​​די סינטאַקס וועט זיין ווי דאָס:

apiVersion: crd.projectcalico.org/v1
kind: NetworkPolicy
metadata:
  name: allow-metrics-prom
spec:
  ingress:
  - action: Allow
    protocol: TCP
    source:
      namespaceSelector: module == 'prometheus'
    destination:
      ports:
      - 9100

אין אַלגעמיין, דורך אַדינג די טייפּס פון פּאַלאַסיז פֿאַר ספּעציפיש באדערפענישן, איר קענען באַשיצן קעגן בייזע אָדער אַקסאַדענטאַל ינטערפיראַנס אין די אָפּעראַציע פון ​​אַפּלאַקיישאַנז אין דעם קנויל.

דער בעסטער פיר, לויט די קריייטערז פון קאַליקאָ, איז די "פאַרשפּאַרן אַלץ און בפירוש עפֿענען וואָס איר דאַרפֿן" צוגאַנג, דאַקיומענטאַד אין באַאַמטער דאַקיומענטיישאַן (אנדערע נאָכגיין אַ ענלעך צוגאַנג - ספּעציעל אין שוין דערמאנט אַרטיקל).

ניצן נאָך קאַליקאָ אָבדזשעקץ

לאָזן מיר דערמאָנען איר אַז דורך די עקסטענדעד גאַנג פון קאַליקאָ אַפּיס איר קענען רעגולירן די אַוויילאַבילאַטי פון נאָודז, ניט לימיטעד צו פּאָדס. אין די פאלגענדע בייַשפּיל ניצן GlobalNetworkPolicy די פיייקייט צו פאָרן ICMP ריקוועס אין דעם קנויל איז פֿאַרמאַכט (למשל, פּינגס פון אַ פּאָד צו אַ נאָדע, צווישן פּאָדס אָדער פֿון אַ נאָדע צו אַן IP פּאָד):

apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: block-icmp
spec:
  order: 200
  selector: all()
  types:
  - Ingress
  - Egress
  ingress:
  - action: Deny
    protocol: ICMP
  egress:
  - action: Deny
    protocol: ICMP

אין די אויבן פאַל, עס איז נאָך מעגלעך פֿאַר קנויל נאָודז צו "דערגרייכן זיך" צו יעדער אנדערער דורך ICMP. און דעם ענין איז ריזאַלווד דורך מיטל GlobalNetworkPolicy, געווענדט צו אַן ענטיטי HostEndpoint:

apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: deny-icmp-kube-02
spec:
  selector: "role == 'k8s-node'"
  order: 0
  ingress:
  - action: Allow
    protocol: ICMP
  egress:
  - action: Allow
    protocol: ICMP
---
apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
  name: kube-02-eth0
  labels:
    role: k8s-node
spec:
  interfaceName: eth0
  node: kube-02
  expectedIPs: ["192.168.2.2"]

די VPN פאַל

צום סוף, איך וועל געבן אַ זייער פאַקטיש בייַשפּיל פון ניצן קאַליקאָ פאַנגקשאַנז פֿאַר די פאַל פון נאָענט-קנויל ינטעראַקשאַן, ווען אַ נאָרמאַל גאַנג פון פּאַלאַסיז איז נישט גענוג. קלייאַנץ נוצן אַ VPN טונעל צו אַקסעס די וועב אַפּלאַקיישאַן, און דעם אַקסעס איז טייטלי קאַנטראָולד און לימיטעד צו אַ ספּעציפיש רשימה פון סערוויסעס ערלויבט פֿאַר נוצן:

קלייאַנץ פאַרבינדן צו די וופּן דורך נאָרמאַל UDP פּאָרט 1194 און, ווען קאָננעקטעד, באַקומען רוץ צו די קנויל סובנעץ פון פּאָדס און באַדינונגס. גאַנץ סובנעץ זענען פּושט אַזוי נישט צו פאַרלירן סערוויסעס בעשאַס ריסטאַרט און אַדרעס ענדערונגען.

דער פּאָרט אין די קאַנפיגיעריישאַן איז נאָרמאַל, וואָס ימפּאָוזאַז עטלעכע נואַנסיז אויף דעם פּראָצעס פון קאַנפיגיער די אַפּלאַקיישאַן און טראַנספערינג עס צו די Kubernetes קנויל. צום ביישפּיל, אין דער זעלביקער AWS LoadBalancer פֿאַר UDP איז געווען ממש אין די סוף פון לעצטע יאָר אין אַ לימיטעד רשימה פון מקומות, און NodePort קענען ניט זיין געוויינט רעכט צו זיין פאָרווערדינג אויף אַלע קנויל נאָודז און עס איז אוממעגלעך צו וואָג די נומער פון סערווער ינסטאַנסיז פֿאַר. שולד טאָלעראַנץ צוועקן. פּלוס, איר וועט האָבן צו טוישן די פעליקייַט קייט פון פּאָרץ ...

ווי אַ רעזולטאַט פון זוכן דורך מעגלעך סאַלושאַנז, די פאלגענדע איז אויסדערוויילט:

1. פּאָדס מיט VPN זענען סקעדזשולד פּער נאָדע אין hostNetwork, דאָס איז, צו די פאַקטיש IP.
2. די דינסט איז אַרייַנגעשיקט אַרויס דורך ClusterIP. א פּאָרט איז פיזיקלי אינסטאַלירן אויף די נאָדע, וואָס איז צוטריטלעך פֿון די אַרויס מיט מינערווערטיק רעזערוויישאַנז (קאַנדישאַנאַל בייַזייַן פון אַ פאַקטיש IP אַדרעס).
3. דיטערמאַנינג די נאָדע אויף וואָס די פּאָד רויז איז ווייַטער פון די פאַרנעם פון אונדזער געשיכטע. איך וועט נאָר זאָגן אַז איר קענען פאַרבינדן די סערוויס צו אַ נאָדע אָדער שרייַבן אַ קליין סיידקאַר דינסט וואָס וועט מאָניטאָר די קראַנט IP אַדרעס פון די וופּן דינסט און רעדאַגירן די דנס רעקאָרדס רעגיסטרירט מיט קלייאַנץ - ווער סע האט גענוג פאַנטאַזיע.

פֿון אַ רוטינג פּערספּעקטיוו, מיר קענען יוניקלי ידענטיפיצירן אַ וופּן קליענט דורך זיין IP אַדרעס ארויס דורך די וופּן סערווער. ונטער איז אַ פּרימיטיוו ביישפּיל פון באַגרענעצן אַזאַ אַ קליענט ס אַקסעס צו סערוויסעס, ילאַסטרייטיד אויף די אויבן-דערמאנט Redis:

apiVersion: crd.projectcalico.org/v1
kind: HostEndpoint
metadata:
  name: vpnclient-eth0
  labels:
    role: vpnclient
    environment: production
spec:
  interfaceName: "*"
  node: kube-02
  expectedIPs: ["172.176.176.2"]
---
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
  name: vpn-rules
spec:
  selector: "role == 'vpnclient'"
  order: 0
  applyOnForward: true
  preDNAT: true
  ingress:
  - action: Deny
    protocol: TCP
    destination:
      ports: [6379]
  - action: Allow
    protocol: UDP
    destination:
      ports: [53, 67]

דאָ, קאַנעקטינג צו פּאָרט 6379 איז שטרענג פּראָוכיבאַטאַד, אָבער אין דער זעלביקער צייַט די אָפּעראַציע פון ​​די דנס דינסט איז אפגעהיט, די פאַנגקשאַנינג פון וואָס סאַפערז גאַנץ אָפט ווען צייכענונג כּללים. ווייַל, ווי פריער דערמאנט, ווען אַ סעלעקטאָר אויס, די פעליקייַט אָפּלייקענונג פּאָליטיק איז געווענדט צו עס סייַדן אַנדערש ספּעסיפיעד.

רעזולטאַטן פון

אזוי, מיט די אַוואַנסירטע אַפּי פון Calico, איר קענען פלעקסאַבאַל קאַנפיגיער און דינאַמיקאַללי טוישן רוטינג אין און אַרום דעם קנויל. אין אַלגעמיין, די נוצן קען קוקן ווי צו דרייען פייגאַלז מיט אַ קאַנאָן, און ימפּלאַמענינג אַ L3 נעץ מיט BGP און IP-IP טאַנאַלז קוקט מאַנסטראַס אין אַ פּשוט קובערנעטעס ינסטאַלירונג אויף אַ פלאַך נעץ ... אָבער, אַנדערש די געצייַג קוקט גאַנץ ווייאַבאַל און נוציק .

יזאָלירן אַ קנויל צו טרעפן זיכערהייט רעקווירעמענץ קען נישט שטענדיק זיין פיזאַבאַל, און דאָס איז ווו קאַליקאָ (אָדער אַ ענלעך לייזונג) קומט צו ראַטעווען. די ביישפילן געגעבן אין דעם אַרטיקל (מיט מינערווערטיק מאָדיפיקאַטיאָנס) זענען געניצט אין עטלעכע ינסטאַליישאַנז פון אונדזער קלייאַנץ אין AWS.

פּס

לייענען אויך אויף אונדזער בלאָג:

• «אַ הקדמה צו Kubernetes נעטוואָרק פּאַלאַסיז פֿאַר זיכערהייט פּראָפעססיאָנאַלס";
• "אַן יללוסטראַטעד גייד צו נעטוואָרקינג אין קובערנעטעס": טיילן 1 און 2 (נעץ מאָדעל, אָוווערליי נעטוואָרקס), טייל 3 (סערוויס און פאַרקער פּראַסעסינג);
• «Container Networking Interface (CNI) - נעץ צובינד און נאָרמאַל פֿאַר לינוקס קאַנטיינערז'.

מקור: www.habr.com