سلام به تمام علاقه مندان به فن آوری! امروز، من مشتاقانه می خواهم آخرین یافته هایم را در مورد موضوعی که موجب جنبش عظیمی در دنیای DevOps شده به اشتراک بگذارم: قوانین شبکه های کوبر نت. اگر با مجموعه های پیچیده کوبر نت کار می کنید، درک و اجرای قوانین موثر شبکه ها برای حفظ امنیت، بهبود عملکرد و امنیت بدون درز میان پادوهایتان ضروری است.
در این پست، من شما را در روند ساختن یک سیستم امنیتی شبکه کوبر نت (K ۸-Pi) راهنمایی می کنم. ما از مشاهدات فنی، چالش ها و بهترین روش های برای ایجاد سیستم امنیتی قابل اعتمادی که امنیت مجموعه های کوبر نت شما را افزایش دهد، استفاده خواهیم کرد. بگذار وارد شویم!
پایه های «K ۸-Pi» ما بر پایه پروژه ی ارتباطی آزاد «Calico» بنا شده است. کالیکو یک راه حل قدرتمند و انعطاف پذیر برای اجرای قوانین شبکه در کوبنتس فراهم می کند. این راه حل امکانات نرم افزاری مثل سیستم امنیتی خودکار، کنترل ریزی دقیق بر ارتباطات پادپاد و پیوستن بی وقفه با برنامه های محبوب CNI را ارائه می دهد.
اما کار با قوانین شبکه ای در کوبر نت ها با مشکلات فراوانی همراه است. یکی از این مشکلات درک زبان سیاست است - قوانین شبکه ای کوبر نت بر اساس زبان سیاست باز Open Policy Agent است که در ابتدا ممکن است ترسناک به نظر برسد. اما نترسید! وقتی به آن وارد شدید، اجرای قوانین شبکه ای بسیار ساده تر می شود.
برای مثال، بگذارید اطلاعات تازه اندوخته شده مان را با استفاده از یک نمونه اجرا کنیم: فرض کنیم ما یک مجموعه از چندین سرویس از جمله سرور وب (Web-svc) و بانک اطلاعاتی (DB-svc) داشته باشیم. هدف ما این است که دسترسی به db-svc را فقط از طریق پادوهای وب-svc محدود کنیم.
اینجا توضیح می دهید که چگونه می توانید یک K ۸-Pi برای رسیدن به این هدف ایجاد کنید:
۱. اول، اطمینان حاصل کنید که کالیکو در مجموعه شما نصب شده و به درستی برنامه ریزی شده است. برای اطلاعات بیشتر در مورد نصب این برنامه می توانید اینجا را ببینید: https: //پروژه کالکیو. docs. ببرتا. io/شروع به کار/kubernetes ۲. پروفایل امنیت شبکه کوبر نت را (k ۸-pi.yaml) تهیه کنید.
نوع: برنامه ریزی شبکه ای metadata: نام: پروژه کالکیو. org/v ۳ نوع: برنامه ریزی شبکه ای metadata: نام: پروژهکالکیو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیاست شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیستم عامل شبکه ی شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع: سیستم عامل شبکه ی شبکه ای metadata: نام: نمونه ی پروژه کالیکو. org/v ۳ نوع:
این پرونده ی ایمال برای پوسته هایی که برچسب «app=web-svc» دارند، سیاست شبکه ای را تعریف می کند. قانون ورودی تصریح می کند که ورودی این پوسته ها تنها در صورتی مجاز است که منبع آن پودی با برچسب «db-svc» باشد. قانون خروج تمامی ترافیک خارجی را مجاز می کند.
۳. استفاده از پروفایل YAML برای ایجاد قوانین شبکه:
bash kubectl apply f k ۸-pi.yaml
حالا شما یک سیستم امنیتی شبکه کوبر نت دارید که دسترسی به سرویس بانکی شما را به همه ی پادوهای غیر از آنهایی که برچسب app=web-svc را دارند محدود می کند. شما می توانید با بررسی وضعیت این سیستم با استفاده از:
bash kubectl get network policy k ۸-pi-example-o yaml
وقتی بیشتر در مورد قوانین شبکه های کوبر نت غور می کنید، به خاطر داشته باشید که باید تعادل میان امنیت و قابلیت انعطاف پذیری را رعایت کنید. از تجربه با قوانین متفاوت نترسید و همیشه از جامعه و بهترین سیستم های آموزشی یاد بگیرید.
منبع: من یک مجتمع کوبنته در خانه با راپی پی (راهبرد قدم به قدم) ساختم.