Bu makale üç bölümden oluşmaktadır. İlk önce ne olduğunu tanıtıyoruz bulut yerel platformu derin bir dalışla Kubernet’ler (K8’ler), kapsayıcı düzenleme için en popüler açık kaynaklı çözümdür. Daha sonra konuyu tartışırız tehdit manzarası ve genel güvenlik çerçevesi ilgili riskleri azaltmak için. Makalenin son bölümü şu konulara odaklanıyor: izleme ve gözlemlenebilirlik genişletilmiş Berkeley Paket Filtresi (eBPF) teknolojisini kullanarak.
Bu makalenin, Bulut Yerel Platformları için güvenlik ve gözlemlenebilirliğin geleneksel dağıtımlardan ne kadar farklı olduğunu anlamanıza yardımcı olacağını umuyoruz. Makaledeki yerleşik bağlantılar, özellikle Açık vRAN’ı benimsiyorsanız, güvenlik ve gözlemlenebilirlik stratejinizi tasarlamanıza ve uygulamanıza yardımcı olacak anlayışlı tanımlara ve kılavuzlara götürür.
Bir K8s kümesinde, bir uygulamanın veya ağ mikro hizmetinin devreye alınması (örneğin, Açık vRAN durumunda) oluşturma, devreye alma ve çalıştırma zamanı aşamalarını içerir ve tüm aşamalarda güvenlik ve gözlemlenebilirliği uygun şekilde ele almanız gerekir.
Operasyon ekibi, platform ekibi, ağ ekibi, güvenlik ekibi ve uyumluluk ekibi, uygulamaların ve ağ mikro hizmetlerinin sorunsuz bir şekilde dağıtılmasından ve çalıştırılmasından sorumlu ekiplerdir. Sadece güçlü işbirliği Güvenlik ve gözlemlenebilirlik, ilgili tüm ekiplerin ortak sorumluluğu olduğundan, tek bir kuruluş mevcut ve gelecekteki tüm riskleri tek başına azaltamayacağından, bu ekipler arasında verimli ve etkili bir DevSecOps sağlanacaktır.
The Cloud Native Computing Foundation’dan alınan birkaç tanımla başlayalım:
Bulutta yerel mimari ve teknolojiler genel, özel ve hibrit bulutlar gibi modern, dinamik ortamlarda ölçeklenebilir uygulamalar oluşturmaya ve çalıştırmaya yönelik bir yaklaşımdır. Kapsayıcılar, hizmet ağları, mikro hizmetler, değişmez altyapı ve bildirime dayalı API’ler bu metodolojiye örnektir.
K8s olarak da bilinen Kubernetes, açık kaynaklı dağıtılmış bir işletim sistemidir. kapsayıcı düzenlemesi, yani, kapsayıcılı uygulamaların dağıtımını, ölçeklenmesini ve yönetimini otomatikleştirmek için. Kubernetes pilot (Yunancadan) bir Docker konteyner gemisi.
A bulut yerel ağ işlevi (CNF), kapsayıcıların içinde çalışmak üzere tasarlanmış ve uygulanan bir ağ işlevidir. CNF’ler, K8s yaşam döngüsü yönetimi, çeviklik, esneklik ve gözlemlenebilirlik dahil olmak üzere tüm bulutta yerel mimari ve operasyonel ilkeleri devralır. Örneğin, Open vRAN’da, çalıştırmak için ayrıştırılmış mimari ve kapsayıcılı yaklaşım sanal merkezi birim (vCU) ve dağıtılmış birim (vDU) – kolayca kurulacak ve mevcut sistem bileşenleriyle birlikte çalışacak şekilde tasarlanmıştır – ticari kullanıma hazır (COTS) donanımda, özellikle toplam sahip olma maliyeti (TOC), otomasyon ve yenilik açısından taşıyıcılara birçok fayda sağlar .
A kapsül bir kümede çalışan bir işlemin tek bir örneğini temsil eden Kubernetes’teki konuşlandırılabilir en küçük nesnedir. Bölmeler, Docker kapsayıcıları gibi bir veya daha fazla kapsayıcı içerebilir. Bir Pod birden çok kapsayıcı çalıştırdığında, kapsayıcılar Pod’un kaynaklarını paylaşır ve tek bir varlık olarak yönetilir.
Kubernetes, tek bir birim olarak çalışmak üzere bağlı olan yüksek düzeyde kullanılabilir bir bilgisayar kümesini koordine eder ve uygulama kapsayıcılarının bir küme genelinde dağıtımını ve zamanlamasını daha verimli bir şekilde otomatikleştirir. Bir Kubernetes kümesi iki tür kaynaktan oluşur:
- A Ana Düğüm kümeyi koordine eden kontrol düzleminde.
- Çalışan Düğümleri uygulamaları (veya ağ mikro hizmetlerini) çalıştıran.
bu kontrol Paneli (CP), küme için çeşitli sunucu ve yönetici işlemlerini çalıştırır. kullanarak bir küme oluştururken kubeadm, kübelet süreç tarafından yönetilir sistem. Çalıştırıldığında, /etc/kubernetes/manifests/ içinde bulunan her bölmeyi başlatır.
bu kubelet sistemi süreç, çalışan düğümlerdeki değişiklikleri ve yapılandırmayı işler. Bölme belirtimleri için API çağrılarını kabul eder (bir PodSpec, bir bölmeyi tanımlayan bir JSON veya YAML dosyasıdır) ve belirtim karşılanana kadar yerel düğümü yapılandırır. Bir Pod, depolamaya, Secrets’a veya ConfigMaps’e erişim gerektiriyorsa, kubelet erişim veya oluşturma sağlayacaktır. Ayrıca, nihai kalıcılık için durumu API Sunucusuna geri gönderir.
Şimdi kontrol düzlemi düğümünün ana Kubernetes bileşenlerini tanıyalım.
API Sunucusu, tüm dahili ve harici çağrıları (trafik) yönetir, erişim de dahil olmak üzere tüm eylemleri kabul eder ve kontrol eder. vb. veri tabanı. API nesneleri için verilerin kimliğini doğrular ve yapılandırır ve Hizmetler REST işlemleri. Kısacası, API Sunucusu tüm kümenin denetleyicisidir ve kümenin paylaşılan durumunun bir ön ucu olarak çalışır. Çalışan düğümler, Kubernetes API’sini kullanan kontrol düzlemi ile iletişim kurar. API Sunucusu ortaya çıkarır.
Zamanlayıcı, bağlanacak kullanılabilir kaynaklara (birimler gibi) dayalı olarak hangi düğümün bir kapsayıcı Pod’u barındıracağını belirler ve ardından kullanılabilirlik ve başarıya göre Pod’u dağıtmayı dener ve yeniden dener. Kube-scheduler hakkında daha fazla bilgiyi GitHub’da bulabilirsiniz.
etcd veritabanı şunları içerir: durum kümenin, ağ oluşturma, ve dinamik şifreleme anahtarları ve gizli diziler gibi diğer kalıcı bilgiler, makalenin ilerleyen bölümlerinde tartışıldığı gibi. aracılığıyla erişilebilir kıvrılmak ve diğer HTTP kitaplıkları ve güvenilir izleme sorguları sağlar. Tüm kümenin kalıcı durumunu koruduğu için, etcd, yedeklemeler de dahil olmak üzere korunmalı ve güvence altına alınmalıdır.
Bu süreç bir kontrol döngüsü rolünü oynar. arka plan programı bu, kümenin durumunu belirlemek için API Sunucusu ile etkileşime girer. Mevcut durum istenen durumla eşleşmiyorsa, yönetici ikincisini eşleştirmek için gerekli tüm işlemleri yapacaktır. Aşağıdaki bölümlerde açıklandığı gibi, kullanımda olan birkaç operatör vardır, örneğin: uç noktalar, ad alanıve replika.
Kubernetes’in diğer önemli bileşenleri şunlardır:
- Operatörler: kontrolörler veya izleme döngüleri. Operatör bir aracıdır veya muhbir, ve bir alt mağaza. Operatör örnekleri şunlardır: uç noktalar, ad alanlarıve hizmet hesaplarıPod’lar için isimsiz kaynakları yöneten. Dağıtımlar üstesinden gelmek çoğaltma Kümeleriaynı şekilde çalışan Pod’ları yöneten alt özellikveya kopyaları.
- Hizmetler: Bir havuzdan seçilen geçici IP adreslerine sahip Bölmeler için kalıcı bir IP sağlamak için uç nokta operatörünü dinleyen bir operatördür. API Sunucusu aracılığıyla her düğümde kube-proxy’ye ve ayrıca calico-kube-controllers gibi ağ eklentisine mesajlar gönderir. Bir hizmet ayrıca Pod’ları birbirine bağlar; Pod’ları İnternet’e açar; ayarları ayrıştırır; ve gelen istekler için Pod erişim politikasını yönetir, kaynak denetimi ve güvenlik için yararlıdır.
- Ad alanları: tek bir küme içindeki kaynak gruplarını ayırma mekanizması).
- Kotalar: ad alanı başına toplam kaynak tüketimini sınırlayan kısıtlamalar sağlar.
- Ağ ve ilkeler: uygulama merkezli yapılar, bir bölmenin ağ üzerinden çeşitli ağ “varlıkları” ile nasıl iletişim kurabileceğini belirlemenize olanak tanır.
- Depolama: birimler, kalıcı birimler, düğüme özgü birim sınırları vb.
Birincil kapsayıcıya (Uygulama) sahip bir bölmenin isteğe bağlı bir kapsayıcıya sahip olduğu aşağıdaki grafikte bir Hizmet Ağı örneği gösterilmektedir. sepet Kaydedici. bu duraklatma kapsayıcı diğer bölmeleri başlatmadan önce ad alanındaki IP adresini ayırmak için kullanılır. Şekil ayrıca bir ClusterIPiçin dağıtılan Uygulamayı “açığa çıkaran” kümenin içinde bağlanma, kümenin IP’si değil. ClusterIP, bir ağa bağlanmak için kullanılabilir. Düğüm Bağlantı Noktası kümenin dışında bir Giriş Kontrolörü veya proxy veya başka bir “arka uç” bölmesi veya bölmeleri.
Bulut yerel platformlarıSymworld gibi, bulutta oluşturulan (özel, hibrit veya genel) iş yüklerinin tasarımını, oluşturulmasını ve çalıştırılmasını sağlar ve bulut bilgi işlem modelinden tam olarak yararlanır.
Aynı zamanda, sanallaştırma, ayrıştırma, otomasyon ve istihbarat gibi yeni mimari, ortaya çıkan ve yıkıcı teknolojiler, ciddi şekilde dikkate alınması gereken yeni güvenlik zorluklarını ve potansiyel riskleri (tehditler*) getirerek tehdit ortamında kaçınılmaz değişiklikler getiriyor. güvenlik açıkları) bozulmaya ve düşmanca müdahaleye karşı hafifletilmelidir.
Burada, potansiyel siber tehditlere maruz kalmanın azaltılmasına ve girişle birlikte gelen içsel güvenlik açığına zamanında yanıt verilmesine olanak tanıyan uygun korumaları ve en iyi uygulamaları kullanan bulutta yerel platformların güvenlik durumunun nasıl iyileştirileceğine dair hiçbir şekilde ayrıntılı olmayan bazı öneriler yer almaktadır. yeni teknolojilerden biridir.
CNCF, bir CNF Sertifikası almak için gerekli testlerin bir listesini sağlar. Güvenlik Testleri, her bir testin ne yaptığına ilişkin genel bir genel bakış, o testin test koduna bir bağlantı ve ilgili/mevcut olduğunda ek bilgilere bağlantılar sunar.
