குபெர்னெட்டஸில் டெனி சர்வீஸ் எக்ஸ்டெர்னல் ஐபிகளை எவ்வாறு கட்டமைப்பது

உங்கள் குபெர்னெட்ஸ் சேவையை இணையத்தில் அணுகுவதற்கு NodePort ஐ எவ்வாறு பயன்படுத்துவது என்பது உங்களுக்குத் தெரிந்தால், குபெர்னெட்ஸ் கிளஸ்டரை அமைக்கும் போது நீங்கள் சிக்கலில் சிக்கலாம். NodePort சேவை வகையைப் பயன்படுத்தும் போது, ​​உயர் போர்ட் எண் ஒதுக்கப்படும், மேலும் உங்கள் ஃபயர்வால் விதியில் அந்த போர்ட்களுக்கான இணைப்புகளை நீங்கள் அனுமதிக்க வேண்டும். இது உங்கள் உள்கட்டமைப்பிற்கு தீங்கு விளைவிக்கும், குறிப்பாக திறந்த இணையம் வழியாக சேவையகத்தை அணுக முடியும். கிளஸ்டருக்கு வெளியே உள்ள சேவைகளுக்கு போக்குவரத்தை அனுப்பக்கூடிய ஒரு கிளஸ்டர் நிர்வாகியாக ஐபி முகவரிகளின் தொகுதியை நீங்கள் ஒதுக்கலாம். இந்தக் கட்டுரையில் இதைப் பற்றித்தான் பேசப் போகிறோம்: Kubernetes இல் மறுப்பு சேவை வெளிப்புற ஐபிகளை எவ்வாறு கட்டமைப்பது என்பது பற்றிய அனைத்து முக்கியமான தகவல்களையும் கண்டறிய.

வெளிப்புற ஐபி சேவை என்றால் என்ன?

சேவை முடிவுப்புள்ளிகளில் ஒன்று, வெளிப்புற ஐபி (இலக்கு ஐபியாக) மற்றும் சேவை போர்ட்டைப் பயன்படுத்தி கிளஸ்டருக்குள் நுழையும் போக்குவரத்தைப் பெறும். வெளிப்புற ஐபியை நிர்வகிப்பதற்கு Kubernetes பொறுப்பல்ல.

குபெர்னெட்ஸ் கிளஸ்டரை அணுக எந்த ஐபி பயன்படுத்தப்படுகிறது என்பதை உறுதிப்படுத்துவது இந்த சூழ்நிலையில் முக்கியமானது. வெளிப்புற ஐபி சேவை வகையைப் பயன்படுத்தி, கிளஸ்டரை அணுகப் பயன்படுத்தப்படும் ஐபி முகவரியுடன் சேவையை இணைக்கலாம்.

குபெர்னெட்ஸ் நெட்வொர்க் ஓவர்லே நெட்வொர்க்குடன் தொடர்பு கொள்கிறது என்பது இந்த சூழ்நிலையைப் புரிந்துகொள்வதற்கு முக்கியமானது. நீங்கள் எந்த முனையையும் (மாஸ்டர் அல்லது தொழிலாளி முனை) அடைந்தவுடன், கிளஸ்டரில் உள்ள ஒவ்வொரு முனையையும் நடைமுறையில் அணுகலாம் என்பதை இது குறிக்கிறது.

நெட்வொர்க் இந்த வழியில் காட்டப்பட்டுள்ளது:

வரைபடத்தில் உள்ள முனைகள் 1 மற்றும் 2 இரண்டும் ஒரே ஐபி முகவரியைப் பகிர்ந்து கொள்கின்றன. உண்மையான Pod Node 1 இல் வாழ்கிறது, ஆனால் IP முகவரி 1.2.3.6 Node 1 இல் Nginx சேவையுடன் பிணைக்கப்பட்டுள்ளது. Node 1 இன் IP முகவரி, 1.2.3.4, httpd சேவையுடன் பிணைக்கப்பட்டுள்ளது, மேலும் Node 2 இன் உண்மையான Pod அங்கு அமைந்துள்ளது.

மேலடுக்கு நெட்வொர்க்கின் அடித்தளத்தால் இது சாத்தியமானது. IP முகவரி 1.2.3.4 ஐ சுருட்டும்போது, ​​httpd சேவை பதிலளிக்க வேண்டும்; நாம் 1.2.3.5 ஐ சுருட்டும்போது, ​​Nginx சேவை பதிலளிக்க வேண்டும்.

வெளிப்புற ஐபியின் நன்மைகள் மற்றும் தீமைகள்

வெளிப்புற ஐபியின் நன்மைகள் மற்றும் தீமைகள் இங்கே:

வெளிப்புற ஐபியைப் பயன்படுத்துவது சாதகமானது, ஏனெனில்:

• • உங்கள் ஐபி முற்றிலும் உங்கள் கட்டுப்பாட்டில் உள்ளது. கிளவுட் வழங்குநரின் ASN ஐப் பயன்படுத்துவதற்குப் பதிலாக, உங்கள் சொந்த ASN க்கு சொந்தமான ஐபியைப் பயன்படுத்தலாம்.

வெளிப்புற ஐபியின் குறைபாடுகள் பின்வருவனவற்றை உள்ளடக்குகின்றன:

• • நாம் இப்போது செல்லும் நேரடியான அமைப்பு மிகவும் எளிதாகக் கிடைக்கவில்லை. முனை தோல்வியுற்றால், சேவையை இனி அணுக முடியாது மற்றும் நீங்கள் சிக்கலை கைமுறையாக சரிசெய்ய வேண்டும் என்பதை இது குறிக்கிறது.
  • ஐபிகளைக் கையாள, கணிசமான மனித உழைப்பு தேவைப்படுகிறது. உங்களுக்காக ஐபிகள் மாறும் வகையில் ஒதுக்கப்படாததால், நீங்கள் அதை கைமுறையாக செய்ய வேண்டும்.

Default Deny/Allow Behavior என்றால் என்ன?

' இயல்புநிலை அனுமதி ” எல்லா போக்குவரமும் இயல்பாகவே அனுமதிக்கப்படுவதைக் குறிக்கிறது. குறிப்பாக அனுமதிக்கப்படாவிட்டால், '' என்ற சொல்லைப் பயன்படுத்தும் போது அனைத்து போக்குவரமும் இயல்பாக நிராகரிக்கப்படும் இயல்புநிலை மறுப்பு .' நெட்வொர்க் கொள்கை குறிப்பிடப்பட்டால் தவிர.

• • அந்த Podக்கான நெட்வொர்க் கொள்கைகள் எதுவும் நடைமுறையில் இல்லை என்றால், ஒரு பாட் மற்றும் அங்கிருந்து வரும் அனைத்து ட்ராஃபிக்கும் அனுமதிக்கப்படும்.
  • ஒன்று அல்லது அதற்கு மேற்பட்ட நெட்வொர்க் கொள்கைகள் உள்ளிழுக்கும் வகைக்கு நடைமுறையில் இருந்தால், அந்தக் கொள்கைகளால் வெளிப்படையாக அனுமதிக்கப்படும் நுழைவு போக்குவரத்து மட்டுமே அனுமதிக்கப்படும்.
  • ஒன்று அல்லது அதற்கு மேற்பட்ட பிணையக் கொள்கைகள் வகை எக்ரஸுக்குப் பொருந்தும் போது, ​​அந்தக் கொள்கைகளால் அனுமதிக்கப்படும் எக்ரெஸ் டிராஃபிக் மட்டுமே அனுமதிக்கப்படும்.

பிற எண்ட்பாயிண்ட் வகைகளுக்கான (VMகள், ஹோஸ்ட் இடைமுகங்கள்) இயல்புநிலை அமைப்பு போக்குவரத்தைத் தடுப்பதாகும். இறுதிப் புள்ளியில் நெட்வொர்க் கொள்கைகள் எதுவும் பொருந்தவில்லை என்றாலும், நெட்வொர்க் கொள்கையால் குறிப்பாக அனுமதிக்கப்படும் ட்ராஃபிக் மட்டுமே அனுமதிக்கப்படும்.

சிறந்த நடைமுறை: மறைமுக இயல்புநிலை மறுப்பு கொள்கை

உங்கள் குபெர்னெட்டஸ் பாட்களுக்காக உருவாக்கப்பட்ட மறைமுக இயல்புநிலை மறுப்புக் கொள்கையை நீங்கள் கட்டமைக்க வேண்டும். இது தேவையற்ற போக்குவரத்து தானாகவே தடுக்கப்படுவதை உறுதி செய்கிறது. மறைமுக இயல்புநிலை கொள்கைகள் எப்போதும் கடைசியாக நடைமுறைக்கு வர மறுக்கிறது என்பதை நினைவில் கொள்ளுங்கள்; வேறு ஏதேனும் கொள்கைகள் போக்குவரத்தை அனுமதித்தால், மறுப்பு பொருந்தாது. மற்ற அனைத்து கொள்கைகளையும் கருத்தில் கொண்ட பின்னரே மறுப்பு செயல்படுத்தப்படுகிறது.

Kubernetes Pods க்கான Default Denies கொள்கையை எப்படி உருவாக்குவது?

குபெர்னெட்டஸ் பாட்களுக்கான இயல்புநிலை மறுப்புக் கொள்கையை உருவாக்க, பின்வரும் விதிகளில் ஏதேனும் ஒன்றைப் பயன்படுத்தினாலும், உலகளாவிய நெட்வொர்க் கொள்கையைப் பயன்படுத்துமாறு நாங்கள் அறிவுறுத்துகிறோம். அனைத்து பெயர்வெளிகள் மற்றும் ஹோஸ்ட்களில் உள்ள அனைத்து பணிச்சுமைகளுக்கும் (VMகள் மற்றும் கொள்கலன்கள்) உலகளாவிய நெட்வொர்க் கொள்கை பயன்படுத்தப்படுகிறது. உலகளாவிய நெட்வொர்க் கொள்கை வளங்களைப் பாதுகாக்கும் போது பாதுகாப்பிற்கான எச்சரிக்கையான அணுகுமுறையை ஊக்குவிக்கிறது.

• • உலகளாவிய பிணையக் கொள்கையை, பெயர் இடைவெளி இல்லாததை நிராகரிக்க இயல்புநிலையை இயக்கவும்
  • பிணையக் கொள்கையை நிராகரிக்க இயல்புநிலையை இயக்கவும், பெயர்வெளி
  • Kubernetes கொள்கையை மறுப்பதற்கு இயல்புநிலையை இயக்கவும், பெயர் இடைவெளி

ஐபி பிளாக் என்றால் என்ன?

இதனுடன், குறிப்பிட்ட IP CIDR வரம்புகள் நுழைவு ஆதாரங்கள் அல்லது வெளியேறும் இடங்களாக அனுமதிக்கப்படும். Pod IPகள் நிலையற்றவை மற்றும் கணிக்க முடியாதவை என்பதால், இவை கிளஸ்டர்-வெளிப்புற IPகளாக இருக்க வேண்டும்.

கிளஸ்டர் நுழைவு மற்றும் வெளியேறும் முறைகளைப் பயன்படுத்தும் போது பாக்கெட்டுகளின் ஆதாரம் அல்லது இலக்கு ஐபி அடிக்கடி மீண்டும் எழுதப்பட வேண்டும். பயன்படுத்தப்படும் குறிப்பிட்ட நெட்வொர்க் செருகுநிரலைப் பொறுத்து (கிளவுட் சேவை வழங்குநர், சேவை செயல்படுத்தல், முதலியன), நடத்தை மாறலாம்.

இது உட்செலுத்தலுக்கு உண்மையாகும், மேலும் சில சந்தர்ப்பங்களில் உண்மையான மூல IP ஐ அடிப்படையாகக் கொண்ட உள்வரும் பாக்கெட்டுகளை நீங்கள் வடிகட்ட வேண்டும் என்பதாகும். மறுபுறம், NetworkPolicy செயல்படும் “source IP” என்பது LoadBalancer இன் IP ஆக இருக்கலாம் அல்லது Pod இன் நோட் போன்றவையாக இருக்கலாம்.

கிளஸ்டர்-வெளிப்புற ஐபிகளுக்கு மாற்றியமைக்கப்பட்ட பாட்கள் மற்றும் சர்வீஸ் ஐபிகளுக்கு இடையேயான இணைப்புகள் வெளியேறுதலின் அடிப்படையில் ஐப்பிளாக் அடிப்படையிலான கட்டுப்பாடுகளுக்கு உட்படுத்தப்படலாம் என்பதை இது காட்டுகிறது.

இயல்புநிலை கொள்கைகள் என்ன?

ஒரு நேம்ஸ்பேஸில் உள்ள பாட்களுக்குச் செல்லும் மற்றும் வெளியேறும் அனைத்து நுழைவு மற்றும் வெளியேறும் போக்குவரமும், அந்த பெயர்வெளிக்கு எந்த கட்டுப்பாடுகளும் இல்லை என்றால், இயல்பாகவே அனுமதிக்கப்படும். பின்வரும் உதாரணங்களைப் பயன்படுத்தி பெயர்வெளியின் இயல்புநிலை நடத்தையை நீங்கள் மாற்றலாம்.

இயல்புநிலை அனைத்து நுழைவு போக்குவரத்தையும் நிராகரி

அனைத்து காய்களையும் தேர்ந்தெடுக்கும் ஆனால் அந்த காய்களுக்கு உள்வரும் ட்ராஃபிக்கை சேர்க்காத பிணையக் கொள்கையை உருவாக்கும் போது, ​​நீங்கள் ஒரு 'இயல்புநிலை' நுழைவு தனிமைப்படுத்தும் கொள்கையை உருவாக்கலாம், அது ஒரு பெயர்வெளிக்கானது.

இது அனைத்து காய்களையும், வேறு எந்த நெட்வொர்க் பாலிசி தேர்வு செய்தாலும், அவை நுழைவதற்கு தனிமைப்படுத்தப்படுவதை உறுதி செய்கிறது. இந்த விதியானது எந்த காய்களையும் விட்டு வெளியேறும் தனிமைப்படுத்தலுக்குப் பொருந்தாது.

அனைத்து வெளியேறும் போக்குவரத்தையும் இயல்புநிலை மறுக்கிறது

அனைத்து காய்களையும் தேர்ந்தெடுக்கும் ஆனால் அந்த காய்களில் இருந்து வெளியேறும் போக்குவரத்தைத் தடுக்கும் நெட்வொர்க் பாலிசியை நீங்கள் உருவாக்கும்போது, ​​நீங்கள் ஒரு 'இயல்புநிலை' வெளியேறும் தனிமைப்படுத்தல் கொள்கையை உருவாக்கலாம், அதுவும் ஒரு பெயர்வெளிக்காகவே.

முடிவுரை

இந்த வழிகாட்டியானது DenyServiceExternalIPகளின் பயன்பாட்டைப் பற்றியது. எங்கள் பயனர்கள் அது செயல்படுவதைப் புரிந்துகொள்ளும் வகையில் வரைபடப் பிரதிநிதித்துவத்தையும் வடிவமைத்துள்ளோம். நாங்கள் மாதிரி கட்டமைப்புகளையும் வழங்கியுள்ளோம்.