אַ הקדמה צו Kubernetes נעטוואָרק פּאַלאַסיז פֿאַר זיכערהייט פּראָפעססיאָנאַלס

נאטיץ. טראַנסל.: דער מחבר פון דעם אַרטיקל, ראובן העריסאן, האט איבער 20 יאָר דערפאַרונג אין ווייכווארג אַנטוויקלונג, און איז הייַנט דער CTO און מיט-גרינדער פון Tufin, אַ פירמע וואָס קריייץ זיכערהייט פּאָליטיק פאַרוואַלטונג סאַלושאַנז. כאָטש ער זעט Kubernetes נעץ פּאַלאַסיז ווי אַ גאַנץ שטאַרק געצייַג פֿאַר נעץ סעגמענטאַטיאָן אין אַ קנויל, ער אויך גלויבט אַז זיי זענען נישט אַזוי גרינג צו ינסטרומענט אין פיר. דער מאַטעריאַל (גאַנץ וואַלומאַנאַס) איז בדעה צו פֿאַרבעסערן ספּעשאַלאַסץ 'וויסיקייַט פון דעם אַרויסגעבן און העלפן זיי מאַכן די נייטיק קאַנפיגיעריישאַנז.

הייַנט, פילע קאָמפּאַניעס זענען ינקריסינגלי טשוזינג Kubernetes צו לויפן זייער אַפּלאַקיישאַנז. דער אינטערעס אין דעם ווייכווארג איז אַזוי הויך אַז עטלעכע רופן Kubernetes "די נייַע אָפּערייטינג סיסטעם פֿאַר די דאַטן צענטער." ביסלעכווייַז, Kubernetes (אָדער K8s) איז אָנהייב צו זיין באמערקט ווי אַ קריטיש טייל פון די געשעפט, וואָס ריקווייערז די אָרגאַניזאַציע פון ​​דערוואַקסן געשעפט פּראַסעסאַז, אַרייַנגערעכנט נעץ זיכערהייט.

פֿאַר זיכערהייט פּראָפעססיאָנאַלס וואָס זענען פּאַזאַלד דורך ארבעטן מיט Kubernetes, די פאַקטיש התגלות קען זיין די פעליקייַט פּאָליטיק פון די פּלאַטפאָרמע: לאָזן אַלץ.

דער פירער וועט העלפֿן איר פֿאַרשטיין די ינערלעך סטרוקטור פון נעץ פּאַלאַסיז; פֿאַרשטיין ווי זיי אַנדערש פון די כּללים פֿאַר רעגולער פירעוואַללס. עס וועט אויך דעקן עטלעכע פּיטפאָלז און צושטעלן רעקאַמאַנדיישאַנז צו באַוואָרענען אַפּלאַקיישאַנז אויף Kubernetes.

Kubernetes נעץ פּאַלאַסיז

די קובערנעטעס נעץ פּאָליטיק מעקאַניזאַם אַלאַוז איר צו פירן די ינטעראַקשאַן פון אַפּלאַקיישאַנז דיפּלויד אויף דער פּלאַטפאָרמע אין די נעץ שיכטע (די דריט אין די OSI מאָדעל). נעץ פּאַלאַסיז פעלן עטלעכע פון ​​​​די אַוואַנסירטע פֿעיִקייטן פון מאָדערן פיירוואַללס, אַזאַ ווי OSI Layer 7 ענפאָרסמאַנט און סאַקאָנע דיטעקשאַן, אָבער זיי צושטעלן אַ יקערדיק מדרגה פון נעץ זיכערהייט וואָס איז אַ גוט סטאַרטינג פונט.

נעץ פּאַלאַסיז קאָנטראָל קאָמוניקאַציע צווישן פּאָדס

ווערקלאָודז אין קובערנעטעס זענען פונאנדערגעטיילט איבער פּאָדס, וואָס צונויפשטעלנ זיך פון איין אָדער מער קאַנטיינערז דיפּלויד צוזאַמען. Kubernetes אַסיינז יעדער פּאָד אַן IP אַדרעס וואָס איז צוטריטלעך פֿון אנדערע פּאָדס. Kubernetes נעץ פּאַלאַסיז שטעלן אַקסעס רעכט פֿאַר גרופּעס פון פּאָדס אין די זעלבע וועג ווי זיכערהייט גרופּעס אין די וואָלקן זענען געניצט צו קאָנטראָלירן אַקסעס צו ווירטואַל מאַשין ינסטאַנסיז.

דעפינירן נעטוואָרק פּאַלאַסיז

ווי אנדערע Kubernetes רעסורסן, נעץ פּאַלאַסיז זענען ספּעסיפיעד אין YAML. אין דעם בייַשפּיל אונטן, די אַפּלאַקיישאַן balance צוטריט צו postgres:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: postgres
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: balance
  policyTypes:
  - Ingress

(נאטיץ. טראַנסל.: דעם סקרעענשאָט, ווי אַלע סאַבסאַקוואַנט ענלעך אָנעס, איז געווען באשאפן נישט ניצן געבוירן Kubernetes מכשירים, אָבער מיט די Tufin Orca געצייַג, וואָס איז דעוועלאָפּעד דורך די פירמע פון ​​דער מחבר פון דער אָריגינעל אַרטיקל און וואָס איז דערמאנט אין די סוף פון דעם מאַטעריאַל.)

צו דעפינירן דיין אייגענע נעץ פּאָליטיק, איר דאַרפֿן יקערדיק וויסן פון YAML. די שפּראַך איז באזירט אויף ינדענטיישאַן (ספּעסיפיעד דורך ספּייסאַז אלא ווי טאַבס). אַן ינדענטיד עלעמענט געהערט צו די ניראַסט ינדענטיד עלעמענט אויבן אים. א נייַע רשימה עלעמענט הייבט מיט אַ ביפען, אַלע אנדערע עלעמענטן האָבן די פאָרעם שליסל-ווערט.

ווייל דיסקרייבד די פּאָליטיק אין YAML, נוצן kubectlצו שאַפֿן עס אין די קנויל:

kubectl create -f policy.yaml

נעץ פּאָליטיק ספּעסיפיקאַטיאָן

די Kubernetes נעץ פּאָליטיק באַשרייַבונג כולל פיר עלעמענטן:

1. podSelector: דיפיינז די פּאָדס אַפעקטאַד דורך דעם פּאָליטיק (טאַרגאַץ) - פארלאנגט;
2. policyTypes: ינדיקייץ וואָס טייפּס פון פּאַלאַסיז זענען אַרייַנגערעכנט אין דעם: ינגרעסס און / אָדער עגרעסס - אַפּשאַנאַל, אָבער איך רעקאָמענדירן בפירוש צו ספּעציפיצירן עס אין אַלע קאַסעס;
3. ingress: דיפיינז ערלויבט ינקאַמינג פאַרקער צו ציל פּאָדס - אַפּשאַנאַל;
4. egress: דיפיינז ערלויבט אַוטגאָוינג פאַרקער פון ציל פּאָדס איז אַפּשאַנאַל.

בייַשפּיל גענומען פון די Kubernetes וועבזייטל (איך ריפּלייסט role אויף app), ווייזט ווי אַלע פיר עלעמענטן זענען געניצט:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:    # <<<
    matchLabels:
      app: db
  policyTypes:    # <<<
  - Ingress
  - Egress
  ingress:        # <<<
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:         # <<<
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

ביטע טאָן אַז אַלע פיר עלעמענטן טאָן ניט האָבן צו זיין אַרייַנגערעכנט. עס איז בלויז מאַנדאַטאָרי podSelector, אנדערע פּאַראַמעטערס קענען זיין געוויינט ווי געוואלט.

אויב איר פאַרלאָזן policyTypes, די פּאָליטיק וועט זיין ינטערפּראַטאַד ווי גייט:

• דורך פעליקייַט, עס איז אנגענומען אַז עס דיפיינז די ינגרעסס זייַט. אויב די פּאָליטיק טוט נישט זאָגן דעם בפירוש, די סיסטעם וועט יבערנעמען אַז אַלע פאַרקער איז פּראָוכיבאַטאַד.
• די נאַטור אויף די עגרעסס זייַט וועט זיין באשלאסן דורך דעם בייַזייַן אָדער אַוועק פון די קאָראַספּאַנדינג עגרעסס פּאַראַמעטער.

צו ויסמיידן מיסטייקס איך רעקאָמענדירן שטענדיק מאַכן עס יקספּליסאַט policyTypes.

לויט צו די אויבן לאָגיק, אויב די פּאַראַמעטערס ingress און / אָדער egress איבערגעהיפּערט, די פּאָליטיק וועט לייקענען אַלע פאַרקער (זען "סטריפּינג הערשן" אונטן).

פעליקייַט פּאָליטיק איז לאָזן

אויב קיין פּאַלאַסיז זענען דיפיינד, Kubernetes אַלאַוז אַלע פאַרקער דורך פעליקייַט. אַלע פּאָדס קענען פרילי וועקסל אינפֿאָרמאַציע צווישן זיך. פֿון אַ זיכערהייט פּערספּעקטיוו, דאָס קען ויסקומען קאַונטערינטואַטיוו, אָבער געדענקט אַז Kubernetes איז ערידזשנאַלי דיזיינד דורך דעוועלאָפּערס צו געבן אַפּלאַקיישאַן ינטעראָפּעראַביליטי. נעטוואָרק פּאַלאַסיז זענען צוגעגעבן שפּעטער.

נאָמען ספּייסאַז

Namespaces זענען די Kubernetes מיטאַרבעט מעקאַניזאַם. זיי זענען דיזיינד צו יזאָלירן לאַדזשיקאַל ינווייראַנמאַנץ פון יעדער אנדערער, ​​בשעת קאָמוניקאַציע צווישן ספּייסאַז איז ערלויבט דורך פעליקייַט.

ווי רובֿ Kubernetes קאַמפּאָונאַנץ, נעץ פּאַלאַסיז לעבן אין אַ ספּעציפיש נאַמעספּאַסע. אין די בלאָק metadata איר קענען ספּעציפיצירן וואָס פּלאַץ די פּאָליטיק געהערט צו:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: my-namespace  # <<<
spec:
...

אויב די נאַמעספּאַסע איז נישט בפירוש ספּעסיפיעד אין די מעטאַדאַטאַ, די סיסטעם וועט נוצן די נאַמעספּאַסע ספּעסיפיעד אין kubectl (דורך פעליקייַט namespace=default):

kubectl apply -n my-namespace -f namespace.yaml

איך רעקאמענדיר ספּעציפיצירן די נאָמען ספּאַסיפיקלי, סייַדן איר שרייַבן אַ פּאָליטיק וואָס טאַרגאַץ קייפל נאָמען ספּייסאַז אין אַמאָל.

הויפּט עלעמענט podSelector אין דער פּאָליטיק וועט אויסקלייַבן פּאָדס פון די נאַמעספּאַסע צו וואָס די פּאָליטיק געהערט (עס איז געלייקנט אַקסעס צו פּאָדס פון אן אנדער נאַמעספּאַסע).

סימילאַרלי, פּאָדסעלעקטאָרס אין אַגרעסיוו און אַרויסגאַנג בלאַקס קענען בלויז אויסקלייַבן פּאָדס פון זייער אייגן נאָמען פּלאַץ, סייַדן פון קורס איר פאַרבינדן זיי מיט namespaceSelector (דאָס וועט זיין דיסקאַסט אין די אָפּטיילונג "פילטער דורך נאָמען ספּייסאַז און פּאָדס").

פּאָליטיק נאַמינג כּללים

פּאָליטיק נעמען זענען יינציק אין דער זעלביקער נאַמעספּאַסע. עס קענען נישט זיין צוויי פּאַלאַסיז מיט די זעלבע נאָמען אין די זעלבע פּלאַץ, אָבער עס קענען זיין פּאַלאַסיז מיט די זעלבע נאָמען אין פאַרשידענע ספּייסאַז. דאָס איז נוציק ווען איר ווילן צו צולייגן די זעלבע פּאָליטיק איבער קייפל ספּייסאַז.

איך ספּעציעל ווי איינער פון די נאַמינג מעטהאָדס. עס באשטייט פון קאַמביינינג די נאָמען פון די נאָמען מיט די ציל פּאָדס. למשל:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres  # <<<
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: postgres
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: admin
  policyTypes:
  - Ingress

לאַבעלס

איר קענען צוטשעפּען מנהג לאַבעלס צו Kubernetes אַבדזשעקץ, אַזאַ ווי פּאָדס און נאָמען ספּייסאַז. לאַבעלס (לאַבעלס - טאַגס) זענען די עקוויוואַלענט פון טאַגס אין די וואָלקן. Kubernetes נעץ פּאַלאַסיז נוצן לאַבעלס צו אויסקלייַבן פּאָדסצו וואָס זיי צולייגן:

podSelector:
  matchLabels:
    role: db

… אָדער נאָמען ספּייסאַזצו וואָס זיי צולייגן. דער ביישפּיל סאַלעקץ אַלע פּאָדס אין נאָמען ספּייסאַז מיט די קאָראַספּאַנדינג לאַבעלס:

namespaceSelector:
  matchLabels:
    project: myproject

איין וואָרענען: ווען ניצן namespaceSelector מאַכן זיכער אַז די נאָמען ספּייסאַז איר אויסקלייַבן אַנטהאַלטן די ריכטיק פירמע. זיין אַווער אַז געבויט-אין נאַמעספּאַסעס אַזאַ ווי default и kube-system, דורך פעליקייַט טאָן ניט אַנטהאַלטן לאַבעלס.

איר קענען לייגן אַ פירמע צו אַ פּלאַץ ווי דאָס:

kubectl label namespace default namespace=default

אין דער זעלביקער צייט, נאָמען ספּייס אין די אָפּטיילונג metadata זאָל אָפּשיקן צו די פאַקטיש פּלאַץ נאָמען, נישט די פירמע:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default   # <<<
spec:
...

מקור און דעסטיניישאַן

פירעוואַלל פּאַלאַסיז צונויפשטעלנ זיך פון כּללים מיט קוואלן און דעסטאַניישאַנז. Kubernetes נעץ פּאַלאַסיז זענען דיפיינד פֿאַר אַ ציל - אַ סכום פון פּאָדס צו וואָס זיי צולייגן - און דעמאָלט שטעלן כּללים פֿאַר ינגרעסס און / אָדער יגרעסס פאַרקער. אין אונדזער ביישפּיל, די ציל פון די פּאָליטיק וועט זיין אַלע פּאָדס אין די נאַמעספּאַסע default מיט פירמע מיט שליסל app און די ווערט db:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: db   # <<<
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

סובסעקציע ingress אין דעם פּאָליטיק, אָפּענס ינקאַמינג פאַרקער צו די ציל פּאָדס. אין אנדערע ווערטער, ינגרעסס איז דער מקור און ציל איז די קאָראַספּאַנדינג דעסטיניישאַן. פּונקט אַזוי, עגרעסס איז די דעסטיניישאַן און ציל איז זייַן מקור.

דאָס איז עקוויוואַלענט צו צוויי פיירוואַל כּללים: ינגרעסס → ציל; ציל → אַרויסגאַנג.

Egress און DNS (וויכטיק!)

דורך לימיטעד אַוטגאָוינג פאַרקער, באַצאָלן ספּעציעל ופמערקזאַמקייַט צו דנס - Kubernetes ניצט דעם דינסט צו מאַפּע באַדינונגס צו IP אַדרעסעס. פֿאַר בייַשפּיל, די פאלגענדע פּאָליטיק וועט נישט אַרבעטן ווייַל איר האָט נישט ערלויבט די אַפּלאַקיישאַן balance צוטריט דנס:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.balance
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: balance
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: postgres
  policyTypes:
  - Egress

איר קענען פאַרריכטן עס דורך עפן אַקסעס צו די דנס דינסט:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.balance
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: balance
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: postgres
  - to:               # <<<
    ports:            # <<<
    - protocol: UDP   # <<<
      port: 53        # <<<
  policyTypes:
  - Egress

לעצטע עלעמענט to איז ליידיק, און דעריבער עס מינאַצאַד סאַלעקץ אַלע פּאָדס אין אַלע נאָמען ספּייסאַז, דערלויבנדיק balance שיקן דנס קוויריז צו די צונעמען Kubernetes דינסט (יוזשאַוואַלי פליסנדיק אין די פּלאַץ kube-system).

דעם צוגאַנג אַרבעט, אָבער עס צופיל פּערמיסיוו און ינסאַקיער, ווייַל עס אַלאַוז דנס קוויריז צו זיין דירעקטעד אַרויס די קנויל.

איר קענען פֿאַרבעסערן עס אין דריי סאַקסעסיוו סטעפּס.

1. לאָזן דנס קוויריז בלויז ין קנויל דורך אַדינג namespaceSelector:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.balance
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: balance
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: postgres
  - to:
    - namespaceSelector: {} # <<<
    ports:
    - protocol: UDP
      port: 53
  policyTypes:
  - Egress

2. לאָזן דנס קוויריז בלויז אין נאַמעספּייס kube-system.

צו טאָן דאָס, איר דאַרפֿן צו לייגן אַ פירמע צו די נאָמען kube-system: kubectl label namespace kube-system namespace=kube-system - און שרייַבן עס אַראָפּ אין פּאָליטיק ניצן namespaceSelector:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.balance
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: balance
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: postgres
  - to:
    - namespaceSelector:         # <<<
        matchLabels:             # <<<
          namespace: kube-system # <<<
    ports:
    - protocol: UDP
      port: 53
  policyTypes:
  - Egress

3. פּאַראַנאָיד מענטשן קענען גיין אפילו ווייַטער און באַגרענעצן דנס קוויריז צו אַ ספּעציפיש דנס דינסט אין kube-system. דער אָפּטיילונג "פילטער דורך נאָמען ספּייסאַז און פּאָדס" וועט זאָגן איר ווי צו דערגרייכן דעם.

אן אנדער אָפּציע איז צו סאָלווע DNS אויף די נאַמעספּאַסע מדרגה. אין דעם פאַל, עס וועט ניט דאַרפֿן צו זיין געעפנט פֿאַר יעדער דינסט:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.dns
  namespace: default
spec:
  podSelector: {} # <<<
  egress:
  - to:
    - namespaceSelector: {}
    ports:
    - protocol: UDP
      port: 53
  policyTypes:
  - Egress

ליידיק podSelector סאַלעקץ אַלע פּאָדס אין די נאַמעספּאַסע.

ערשטער גלייַכן און הערשן סדר

אין קאַנווענשאַנאַל פירעוואַללס, דער קאַמף (אַלאַו אָדער אָפּלייקענען) אויף אַ פּאַקאַט איז באשלאסן דורך דער ערשטער הערשן אַז עס סאַטיספייז. אין Kubernetes, דער סדר פון פּאַלאַסיז טוט נישט ענין.

דורך פעליקייַט, ווען קיין פּאַלאַסיז זענען באַשטימט, קאָמוניקאַציע צווישן פּאָדס זענען ערלויבט און זיי קענען פרילי וועקסל אינפֿאָרמאַציע. אַמאָל איר אָנהייבן פאָרמולירן פּאַלאַסיז, ​​יעדער פּאָד אַפעקטאַד דורך בייַ מינדסטער איינער פון זיי ווערט אפגעזונדערט לויט די דיסדזשונקטיאָן (לאַדזשיקאַל OR) פון אַלע די פּאַלאַסיז וואָס האָבן אויסגעקליבן עס. פּאָדס וואָס זענען נישט אַפעקטאַד דורך קיין פּאָליטיק בלייבן אָפן.

איר קענען טוישן דעם נאַטור מיט אַ סטריפּינג הערשן.

סטריפּינג הערשן ("לייקענען")

פירעוואַלל פּאַלאַסיז טיפּיקלי לייקענען קיין פאַרקער וואָס איז נישט בפירוש ערלויבט.

עס איז קיין אָפּלייקענונג קאַמף אין Kubernetes, אָבער, אַ ענלעך ווירקונג קענען זיין אַטשיווד מיט אַ רעגולער (פּערמיסיוו) פּאָליטיק דורך סאַלעקטינג אַ ליידיק גרופּע פון ​​מקור פּאָדס (ינגרעסס):

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress

די פּאָליטיק סאַלעקץ אַלע פּאָדס אין די נאַמעספּאַסע און לאָזן ינגרעסס אַנדיפיינד, לייקענען אַלע ינקאַמינג פאַרקער.

אין אַ ענלעך וועג, איר קענען באַגרענעצן אַלע אַוטגאָוינג פאַרקער פון אַ נאַמעספּייס:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress

ביטע טאָן אַז קיין נאָך פּאַלאַסיז וואָס לאָזן פאַרקער צו פּאָדס אין די נאַמעספּאַסע וועט נעמען פּריידאַנס איבער דעם הערשן (ענלעך צו לייגן אַן לאָזן הערשן איידער אַ לייקענען הערשן אין אַ פיירוואַל קאַנפיגיעריישאַן).

לאָזן אַלץ (עני-עני-עני-אַלאַו)

צו שאַפֿן אַן אַלאַו אַלע פּאָליטיק, איר דאַרפֿן צו העסאָפע די אָפּלייקענונג פּאָליטיק אויבן מיט אַ ליידיק עלעמענט ingress:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
  namespace: default
spec:
  podSelector: {}
  ingress: # <<<
  - {}     # <<<
  policyTypes:
  - Ingress

עס אַלאַוז אַקסעס פֿון אַלע פּאָדס אין אַלע נאַמעספּאַסעס (און אַלע IP) צו קיין פּאָד אין די נאַמעספּאַסע default. דעם אָפּפירונג איז ענייבאַלד דורך פעליקייַט, אַזוי עס יוזשאַוואַלי ניט דאַרפֿן צו זיין דיפיינד ווייַטער. אָבער, מאל איר קען דאַרפֿן צו טעמפּערעראַלי דיסייבאַל עטלעכע ספּעציפיש פּערמישאַנז צו דיאַגנאָזירן דעם פּראָבלעם.

די הערשן קענען זיין נעראָוד צו לאָזן אַקסעס בלויז צו אַ ספּעציפיש גאַנג פון פּאָדס (app:balance) אין די נאָמען פּלאַץ default:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-to-balance
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: balance
  ingress: 
  - {}
  policyTypes:
  - Ingress

די פאלגענדע פּאָליטיק אַלאַוז אַלע ינגרעסס און יגרעסס פאַרקער, אַרייַנגערעכנט אַקסעס צו קיין IP אַרויס די קנויל:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}
  egress:
  - {}
  policyTypes:
  - Ingress
  - Egress

קאַמביינינג קייפל פּאַלאַסיז

פּאַלאַסיז זענען קאַמביינד ניצן לאַדזשיקאַל אָדער אין דרייַ לעוועלס; די פּערמישאַנז פון יעדער פּאָד זענען באַשטימט אין לויט מיט די דיסדזשונקטיאָן פון אַלע פּאַלאַסיז וואָס ווירקן עס:

1. אין די פעלדער from и to דריי טייפּס פון עלעמענטן קענען זיין דיפיינד (אַלע פון ​​וואָס זענען קאַמביינד מיט OR):

• namespaceSelector - סאַלעקץ די גאנצע נאָמען פּלאַץ;
• podSelector - סאַלעקץ פּאָדס;
• ipBlock — סאַלעקץ אַ סובנעט.

דערצו, די נומער פון עלעמענטן (אפילו יידעניקאַל אָנעס) אין סאַבסעקשאַנז from/to ניט באגרענעצט. אַלע פון ​​זיי וועט זיין קאַמביינד דורך לאַדזשיקאַל OR.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres
  namespace: default
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: indexer
    - podSelector:
        matchLabels:
          app: admin
  podSelector:
    matchLabels:
      app: postgres
  policyTypes:
  - Ingress

2. ין דער פּאָליטיק אָפּטיילונג ingress קענען האָבן פילע עלעמענטן from (קאַמביינד דורך לאַדזשיקאַל OR). סימילאַרלי, אָפּטיילונג egress קען אַרייַננעמען פילע עלעמענטן to (אויך קאַמביינד דורך דיסדזשונקטיאָן):

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres
  namespace: default
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: indexer
  - from:
    - podSelector:
        matchLabels:
          app: admin
  podSelector:
    matchLabels:
      app: postgres
  policyTypes:
  - Ingress

3. פאַרשידענע פּאַלאַסיז זענען אויך קאַמביינד מיט לאַדזשיקאַל OR

אבער ווען קאַמביינינג זיי, עס איז איין באַגרענעצונג אויף וואָס שפּיציק אויס קריס קוני: Kubernetes קענען בלויז פאַרבינדן פּאַלאַסיז מיט פאַרשידענע policyTypes (Ingress אָדער Egress). פּאַלאַסיז וואָס דיפיינינג ינגרעסס (אָדער יגרעסס) וועט אָווועררייט יעדער אנדערע.

שייכות צווישן נאָמען ספּייסאַז

דורך פעליקייַט, אינפֿאָרמאַציע ייַנטיילונג צווישן נאָמען ספּייסאַז איז ערלויבט. דעם קענען זיין פארענדערט דורך ניצן אַ לייקענען פּאָליטיק וואָס וועט באַגרענעצן פאַרקער אַוטגאָוינג און / אָדער ינקאַמינג אין די נאַמעספּאַסע (זען "סטריפּינג רול" אויבן).

אַמאָל איר האָבן אפגעשטעלט אַקסעס צו אַ נאַמעספּאַסע (זען די "סטריפּינג רול" אויבן), איר קענען מאַכן אויסנעמען צו די פארלייקענען פּאָליטיק דורך אַלאַוינג קאַנעקשאַנז פון אַ ספּעציפיש נאָמען ספּייס ניצן namespaceSelector:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: database.postgres
  namespace: database
spec:
  podSelector:
    matchLabels:
      app: postgres
  ingress:
  - from:
    - namespaceSelector: # <<<
        matchLabels:
          namespace: default
  policyTypes:
  - Ingress

ווי אַ רעזולטאַט, אַלע פּאָדס אין די נאַמעספּאַסע default וועט האָבן צוטריט צו פּאָדס postgres אין נאָמען פּלאַץ database. אבער וואָס אויב איר ווילן צו עפענען אַקסעס צו postgres בלויז ספּעציפיש פּאָדס אין די נאַמעספּאַסע default?

פילטער לויט נאָמען ספּייסאַז און פּאָדס

Kubernetes ווערסיע 1.11 און העכער אַלאַוז איר צו פאַרבינדן אָפּערייטערז namespaceSelector и podSelector ניצן לאַדזשיקאַל AND. עס קוקט ווי דאָס:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: database.postgres
  namespace: database
spec:
  podSelector:
    matchLabels:
      app: postgres
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          namespace: default
      podSelector: # <<<
        matchLabels:
          app: admin
  policyTypes:
  - Ingress

פארוואס איז דאָס ינטערפּראַטאַד ווי AND אַנשטאָט פון די געוויינטלעך OR?

באמערק אז podSelector הייבט זיך נישט אן מיט א קויף. אין YAML דאָס מיינט אַז podSelector און שטייענדיק פאַר אים namespaceSelector אָפּשיקן צו דער זעלביקער רשימה עלעמענט. דעריבער, זיי זענען קאַמביינד מיט לאַדזשיקאַל AND.

אַדינג אַ היפען פריער podSelector וועט רעזולטאַט אין די ימערדזשאַנס פון אַ נייַ רשימה עלעמענט, וואָס וועט זיין קאַמביינד מיט די פריערדיקע איינער namespaceSelector ניצן לאַדזשיקאַל OR.

צו אויסקלייַבן פּאָדס מיט אַ ספּעציפיש פירמע אין אַלע נאָמען ספּייסאַז, אַרייַן ליידיק namespaceSelector:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: database.postgres
  namespace: database
spec:
  podSelector:
    matchLabels:
      app: postgres
  ingress:
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          app: admin
  policyTypes:
  - Ingress

קייפל לאַבעלס צוזאַמען מיט I

כּללים פֿאַר אַ פיירוואַל מיט קייפל אַבדזשעקץ (מחנות, נעטוואָרקס, גרופּעס) זענען קאַמביינד מיט לאַדזשיקאַל OR. די פאלגענדע הערשן וועט אַרבעטן אויב די פּאַקאַט מקור שוועבעלעך Host_1 אָדער Host_2:

| Source | Destination | Service | Action |
| ----------------------------------------|
| Host_1 | Subnet_A    | HTTPS   | Allow  |
| Host_2 |             |         |        |
| ----------------------------------------|

פֿאַרקערט, אין קובערנעטעס די פֿאַרשיידענע לאַבעלס אין podSelector אָדער namespaceSelector זענען קאַמביינד מיט לאַדזשיקאַל AND. פֿאַר בייַשפּיל, די פאלגענדע הערשן וועט אויסקלייַבן פּאָדס וואָס האָבן ביידע לאַבעלס, role=db И version=v2:

podSelector:
  matchLabels:
    role: db
    version: v2

דער זעלביקער לאָגיק אַפּלייז צו אַלע טייפּס פון אָפּערייטערז: פּאָליטיק ציל סעלעקטאָרס, פּאָד סעלעקטאָרס און נאַמעספּאַסע סעלעקטאָרס.

סובנעץ און IP אַדרעסעס (IPBlocks)

פירעוואַללס נוצן וולאַנז, IP אַדרעסעס און סובנעץ צו סעגמענט אַ נעץ.

אין Kubernetes, IP אַדרעסעס זענען אַסיינד צו פּאָדס אויטאָמאַטיש און קענען אָפט טוישן, אַזוי לאַבעלס זענען געניצט צו אויסקלייַבן פּאָדס און נאָמען ספּייסאַז אין נעץ פּאַלאַסיז.

סובנעץ (ipBlocks) זענען געניצט ווען אָנפירונג ינקאַמינג (ינגרעסס) אָדער אַוטגאָוינג (יגרעסס) פונדרויסנדיק (צפון-דרום) קאַנעקשאַנז. פֿאַר בייַשפּיל, דעם פּאָליטיק אָפּענס צו אַלע פּאָדס פון די נאַמעספּאַסע default אַקסעס צו Google DNS דינסט:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: egress-dns
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 8.8.8.8/32
    ports:
    - protocol: UDP
      port: 53

די ליידיק פּאָד סעלעקטאָר אין דעם בייַשפּיל מיטל "סעלעקטירן אַלע פּאָדס אין די נאַמעספּאַסע."

די פּאָליטיק אַלאַוז בלויז אַקסעס צו 8.8.8.8; אַקסעס צו קיין אנדערע IP איז פּראָוכיבאַטאַד. אַזוי, אין עסאַנס, איר האָט אפגעשטעלט אַקסעס צו די ינערלעך Kubernetes DNS דינסט. אויב איר נאָך ווילן צו עפענען עס, אָנווייַזן דעם בפירוש.

יוזשאַוואַלי ipBlocks и podSelectors זענען מיוטשואַלי ויסשליסיק, זינט די ינערלעך IP אַדרעסעס פון פּאָדס זענען נישט געניצט אין ipBlocks. דורך אָנווייַזן ינערלעך IP פּאָדס, איר וועט אַקשלי לאָזן קאַנעקשאַנז צו / פֿון פּאָדס מיט די אַדרעסעס. אין פיר, איר וועט נישט וויסן וואָס IP אַדרעס צו נוצן, וואָס איז וואָס זיי זאָל נישט זיין געוויינט צו אויסקלייַבן פּאָדס.

ווי אַ טאָמבאַנק ביישפּיל, די פאלגענדע פּאָליטיק ינקלודז אַלע IPs און דעריבער אַלאַוז אַקסעס צו אַלע אנדערע פּאָדס:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: egress-any
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0

איר קענט בלויז עפֿענען אַקסעס צו פונדרויסנדיק IP, אַחוץ די ינערלעך IP אַדרעסעס פון פּאָדס. פֿאַר בייַשפּיל, אויב דיין פּאָד ס סובנעט איז 10.16.0.0/14:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: egress-any
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
        except:
        - 10.16.0.0/14

פּאָרץ און פּראָטאָקאָלס

טיפּיקאַללי, פּאָדס הערן צו איין פּאָרט. דעם מיטל אַז איר קענען פשוט נישט ספּעציפיצירן פּאָרט נומערן אין פּאַלאַסיז און לאָזן אַלץ ווי פעליקייַט. אָבער, עס איז רעקאַמענדיד צו מאַכן פּאַלאַסיז ווי ריסטריקטיוו ווי מעגלעך, אַזוי אין עטלעכע קאַסעס איר קענען נאָך ספּעציפיצירן פּאָרץ:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres
  namespace: default
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: indexer
    - podSelector:
        matchLabels:
          app: admin
    ports:             # <<<
      - port: 443      # <<<
        protocol: TCP  # <<<
      - port: 80       # <<<
        protocol: TCP  # <<<
  podSelector:
    matchLabels:
      app: postgres
  policyTypes:
  - Ingress

באַמערקונג אַז די סעלעקטאָר ports אַפּלייז צו אַלע עלעמענטן אין דעם בלאָק to אָדער from, וואָס כּולל. צו ספּעציפיצירן פאַרשידענע פּאָרץ פֿאַר פאַרשידענע סעץ פון עלעמענטן, שפּאַלטן ingress אָדער egress אין עטלעכע סאַבסעקשאַנז מיט to אָדער from און אין יעדער פאַרשרייַבן דיין פּאָרץ:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default.postgres
  namespace: default
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: indexer
    ports:             # <<<
     - port: 443       # <<<
       protocol: TCP   # <<<
  - from:
    - podSelector:
        matchLabels:
          app: admin
    ports:             # <<<
     - port: 80        # <<<
       protocol: TCP   # <<<
  podSelector:
    matchLabels:
      app: postgres
  policyTypes:
  - Ingress

פעליקייַט פּאָרט אָפּעראַציע:

• אויב איר פאַרלאָזן די פּאָרט דעפֿיניציע גאָר (ports), דאָס מיטל אַלע פּראָטאָקאָלס און אַלע פּאָרץ;
• אויב איר פאַרלאָזן די פּראָטאָקאָל דעפֿיניציע (protocol), דאָס מיטל TCP;
• אויב איר פאַרלאָזן די פּאָרט דעפֿיניציע (port), דאָס מיטל אַלע פּאָרץ.

בעסטער פיר: דו זאלסט נישט פאַרלאָזנ אויף פעליקייַט וואַלועס, ספּעציפיצירן וואָס איר דאַרפֿן בפירוש.

ביטע טאָן אַז איר מוזן נוצן פּאָד פּאָרץ, נישט דינסט פּאָרץ (מער אויף דעם אין דער ווייַטער פּאַראַגראַף).

זענען פּאַלאַסיז דיפיינד פֿאַר פּאָדס אָדער באַדינונגס?

טיפּיקאַללי, פּאָדס אין Kubernetes אַקסעס יעדער אנדערע דורך אַ סערוויס - אַ ווירטואַל מאַסע באַלאַנסער וואָס רידערעקץ פאַרקער צו די פּאָדס וואָס ינסטרומענט די סערוויס. איר קען טראַכטן אַז נעץ פּאַלאַסיז קאָנטראָלירן אַקסעס צו באַדינונגס, אָבער דאָס איז נישט דער פאַל. Kubernetes נעץ פּאַלאַסיז אַרבעט אויף פּאָד פּאָרץ, נישט סערוויס פּאָרץ.

פֿאַר בייַשפּיל, אויב אַ דינסט ליסאַנז צו פּאָרט 80, אָבער רידערעקץ פאַרקער צו פּאָרט 8080 פון זייַן פּאָדס, איר מוזן ספּעציפיצירן פּונקט 8080 אין די נעץ פּאָליטיק.

אַזאַ אַ מעקאַניזאַם זאָל זיין גערעכנט ווי סובאָפּטימאַל: אויב די ינערלעך סטרוקטור פון די סערוויס (די פּאָרץ פון וואָס פּאָדס הערן) ענדערונגען, די נעץ פּאַלאַסיז וועט זיין דערהייַנטיקט.

ניו אַרקאַטעקטשעראַל צוגאַנג ניצן סערוויס מעש (למשל, זען וועגן Istio אונטן - בעערעך איבערזעצונג) אַלאַוז איר צו קאָפּע מיט דעם פּראָבלעם.

איז עס נייטיק צו רעגיסטרירן ביידע ינגרעסס און עגרעסס?

דער קורץ ענטפֿער איז יאָ, כּדי פּאָד א זאָל קענען יבערגעבן מיט פּאָד ב, עס מוזן זיין ערלויבט צו שאַפֿן אַ אַוטגאָוינג פֿאַרבינדונג (פֿאַר דעם איר דאַרפֿן צו קאַנפיגיער אַן עגרעסס פּאָליטיק), און פּאָד ב מוזן קענען אָננעמען אַ ינקאַמינג קשר ( פֿאַר דעם, אַקאָרדינגלי, איר דאַרפֿן אַן ינגרעסס פּאָליטיק).

אָבער, אין פיר, איר קענען פאַרלאָזנ אויף די פעליקייַט פּאָליטיק צו לאָזן קאַנעקשאַנז אין איין אָדער ביידע אינסטרוקציעס.

אויב עטלעכע פּאָד-מאָקער וועט זיין אויסגעקליבן דורך איינער אָדער מער אַרויסגאַנג-פּאַלאַטישאַנז, די ריסטריקשאַנז ימפּאָוזד אויף עס וועט זיין באשלאסן דורך זייער דידזשאַנגקשאַן. אין דעם פאַל, איר וועט דאַרפֿן צו בפירוש לאָזן קשר צו די פּאָד -אַדרעסי. אויב אַ פּאָד איז נישט אויסגעקליבן דורך קיין פּאָליטיק, זיין אַוטגאָוינג (יגרעס) פאַרקער איז ערלויבט דורך פעליקייַט.

סימילאַרלי, דער גורל פון די פּאָד איזאַדרעסירט, אויסגעקליבן דורך איינער אָדער מער ינגריישאַן— פאליטיקער , װעל ן באשלאס ן װער ן דור ך זײע ר דיסדזשונקציע . אין דעם פאַל, איר מוזן בפירוש לאָזן עס באַקומען פאַרקער פון די מקור פּאָד. אויב אַ פּאָד איז נישט אויסגעקליבן דורך קיין פּאָליטיק, אַלע ינגרעסס פאַרקער פֿאַר עס איז ערלויבט דורך פעליקייַט.

זען סטייטפול אָדער סטייטלעסס אונטן.

לאָגס

Kubernetes נעץ פּאַלאַסיז קענען נישט קלאָץ פאַרקער. דאָס מאכט עס שווער צו באַשליסן צי אַ פּאָליטיק אַרבעט ווי בדעה און זייער קאַמפּליקייץ זיכערהייט אַנאַליסיס.

קאָנטראָל פון פאַרקער צו פונדרויסנדיק באַדינונגס

Kubernetes נעץ פּאַלאַסיז טאָן ניט לאָזן איר צו ספּעציפיצירן אַ גאָר קוואַלאַפייד פעלד נאָמען (דנס) אין עגרעסס סעקשאַנז. דער פאַקט פירט צו באַטייטיק ינקאַנוויניאַנס ווען איר פּרובירן צו באַגרענעצן פאַרקער צו פונדרויסנדיק דעסטאַניישאַנז וואָס טאָן ניט האָבן אַ פאַרפעסטיקט IP אַדרעס (אַזאַ ווי aws.com).

פּאָליטיק טשעק

פירעוואַללס וועט וואָרענען איר אָדער אפילו אָפּזאָגן צו אָננעמען די פאַלש פּאָליטיק. Kubernetes אויך טוט עטלעכע וועראַפאַקיישאַן. ווען באַשטעטיקן אַ נעץ פּאָליטיק דורך kubectl, Kubernetes קען דערקלערן אַז עס איז פאַלש און אָפּזאָגן צו אָננעמען עס. אין אנדערע קאַסעס, Kubernetes וועט נעמען די פּאָליטיק און פּלאָמבירן עס מיט די פעלנדיק דעטאַילס. זיי קענען זיין געזען מיט דעם באַפֿעל:

kubernetes get networkpolicy <policy-name> -o yaml

האַלטן אין מיינונג אַז די Kubernetes וואַלאַדיישאַן סיסטעם איז נישט ינפאַלאַבאַל און קען פאַרפירן עטלעכע טייפּס פון ערראָרס.

דורכפירונג

Kubernetes טוט נישט ינסטרומענט נעץ פּאַלאַסיז זיך, אָבער איז בלויז אַן אַפּי גייטוויי וואָס דעלאַגייץ די מאַסע פון ​​קאָנטראָל צו אַ אַנדערלייינג סיסטעם גערופן די קאַנטיינער נעטוואָרקינג צובינד (CNI). באַשטעטיקן פּאַלאַסיז אויף אַ Kubernetes קנויל אָן אַסיינינג די צונעמען CNI איז די זעלבע ווי קריייטינג פּאַלאַסיז אויף אַ פיירוואַל פאַרוואַלטונג סערווער אָן ינסטאָלינג זיי אויף פירעוואַללס. עס איז אַרויף צו איר צו ענשור איר האָבן אַ לייַטיש CNI אָדער, אין די פאַל פון Kubernetes פּלאַטפאָרמס, כאָוסטיד אין די וואָלקן (איר קענט זען די רשימה פון פּראַוויידערז דאָ — בעערעך. טראַנס.), געבן נעץ פּאַלאַסיז וואָס וועט שטעלן CNI פֿאַר איר.

באַמערקונג אַז Kubernetes וועט נישט וואָרענען איר אויב איר שטעלן אַ נעץ פּאָליטיק אָן די צונעמען העלפער CNI.

סטעיטפול אָדער סטעיטלעסס?

אַלע קובערנעטעס CNIs וואָס איך האָבן געפּלאָנטערט זענען סטאַטעפול (למשל, Calico ניצט לינוקס קאָנטראַקק). דאָס אַלאַוז די פּאָד צו באַקומען רעספּאָנסעס אויף די TCP פֿאַרבינדונג וואָס עס ינישיייטיד אָן איר דאַרפֿן צו שייַעך-פאַרלייגן עס. אָבער, איך בין נישט אַווער פון אַ Kubernetes נאָרמאַל וואָס וואָלט גאַראַנטירן סטייטפולנעסס.

אַוואַנסירטע זיכערהייַט פּאָליטיק מאַנאַגעמענט

דאָ זענען עטלעכע וועגן צו פֿאַרבעסערן זיכערהייט פּאָליטיק ענפאָרסמאַנט אין Kubernetes:

1. די סערוויס מעש אַרקאַטעקטשעראַל מוסטער ניצט סיידקאַר קאַנטיינערז צו צושטעלן דיטיילד טעלעמעטרי און פאַרקער קאָנטראָל אויף די סערוויס מדרגה. ווי אַ בייַשפּיל מיר קענען נעמען יסטיאָ.
2. עטלעכע פון ​​די CNI ווענדאָרס האָבן עקסטענדעד זייער מכשירים צו גיין ווייַטער פון Kubernetes נעץ פּאַלאַסיז.
3. טופין אָרקאַ פּראָווידעס וויזאַביליטי און אָטאַמיישאַן פון Kubernetes נעץ פּאַלאַסיז.

די Tufin Orca פּעקל מאַנידזשיז Kubernetes נעץ פּאַלאַסיז (און איז דער מקור פון די סקרעענשאָץ אויבן).

נאָך אינפֿאָרמאַציע

• ביישפילן פון נעץ פּאַלאַסיז צוגעגרייט דורך Ahmet Alp Balkan פֿון GKE;
• דאַקיומענטיישאַן פון דער באַאַמטער Kubernetes וועבזייטל;
• א גייד צו די Kubernetes נעטוואָרקינג מאָדעל;
• שריפט פֿאַר קאָנטראָלירונג נעץ פּאַלאַסיז.

סאָף

Kubernetes נעץ פּאַלאַסיז פאָרשלאָגן אַ גוט גאַנג פון מכשירים פֿאַר סעגמענטינג קלאַסטערז, אָבער זיי זענען נישט ינטואַטיוו און האָבן פילע סאַטאַלטיז. ווייַל פון דעם קאַמפּלעקסיטי, איך גלויבן פילע יגזיסטינג קנויל פּאַלאַסיז זענען וואָגן. מעגלעך סאַלושאַנז צו דעם פּראָבלעם אַרייַננעמען אָטאַמייטינג פּאָליטיק דעפֿיניציע אָדער ניצן אנדערע סעגמאַנטיישאַן מכשירים.

איך האָפֿן אַז דער פירער העלפּס ויסמעקן עטלעכע פראגעס און סאָלווע ישוז וואָס איר קען טרעפן.

פּס פון איבערזעצער

לייענען אויך אויף אונדזער בלאָג:

• "צוריק צו מיקראָסערוויסעס מיט Istio": טייל 1 (הקדמה צו די הויפּט פֿעיִקייטן), טייל 2 (רוטינג, פאַרקער קאָנטראָל), טייל 3 (זיכערהייט);
• "אַן יללוסטראַטעד גייד צו נעטוואָרקינג אין קובערנעטעס": טיילן 1 און 2 (נעץ מאָדעל, אָוווערליי נעטוואָרקס), טייל 3 (סערוויס און פאַרקער פּראַסעסינג);
• «Docker און Kubernetes אין זיכערהייט-פאדערן ינווייראַנמאַנץ";
• «9 בעסטער פּראַקטיסיז פֿאַר Kubernetes זיכערהייט";
• «11 וועגן צו (ניט) ווערן אַ קאָרבן פון אַ קובערנעטעס כאַק'.

מקור: www.habr.com