#kubernetes #istio #network-security #servicemesh
#kubernetes #istio #сетевая безопасность #servicemesh
Вопрос:
Введение
Продукты Service mesh, такие как Istio, используют программный подход для обеспечения мощных возможностей управления сетью. Вы можете полностью контролировать не только внутреннюю часть сетки, но и связь снаружи с внутренней частью сетки и связь изнутри с внешней частью сетки.
Это полностью инфраструктурные среды, если смотреть из приложения, но, наоборот, они являются прикладными средами, если смотреть с уровня виртуальной машины, например, узлов.
Вопрос
Мой вопрос в том, как вообще следует настраивать сетевую безопасность для чисто физических уровней, таких как виртуальные машины и узлы?
Если взять Istio в качестве примера, связь между службами осуществляется через прокси-сервер Envoy, который вставляется как коляска. Это взаимодействие может охватывать узлы. Управление связью извне сетки осуществляется с помощью шлюза. Используемый порт и протокол можно контролировать.
В идеале сетевые настройки уровня виртуальной машины и узла должны быть широко открыты для связи внутри сетки (порты, используемые Envoy для внутренней связи, назначаются автоматически, и я не хочу их контролировать) и за пределами сетки. Я понимаю, что вам нужно только настроить необходимую связь.
Однако это может быть значительным административным бременем.
Комментарии:
1. Возможно, вы захотите использовать Calico CNI. Это позволяет шифровать весь трафик, а также позволяет защищать узлы от pod-сети с помощью сетевых политик. И он совместим с Istio.
2. @VasiliAngapov Спасибо за ваш ответ. Calico CNI выглядит как хорошее решение для повышения производительности при настройке сетевой политики узла. Я не уверен, как работает Calico, мы можем прозрачно применить calico к нашей системе? Calico автоматически считывает настройки Istio (или что-то в этом роде) и устанавливает соответствующие настройки для узла?