Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Introducción a Firewall Contrail

 

En el capítulo 3, se presentó el concepto de directiva de red Kubernetes. Lo hicimos detalladamente a través de la definición del archivo YAML y creamos una directiva de red basada en ella. También’se mencionó que la creación de objetos de políticas de’red se consiguió t? s efecto, a menos que la implementación de redes Kubernetes lo permita. Contrail, como Kubernetes CNI, implementa las redes Kubernetes y admite la Directiva de red Kubernetes a través de Firewall de Contrail. Este es el enfoque de este capítulo:’demostraremos cómo funciona la Directiva de red en el entorno contrail a través de contrail Firewall.

’Primero, revise algunos conceptos importantes en contrail.

Enrutamiento inter-VN.

En Contrail, las redes virtuales se aíslan de forma predeterminada. Esto significa que las cargas de trabajo en VN1 no pueden comunicarse con cargas de trabajo en otro VN2. Para permitir las comunicaciones de la red intervirtual entre VN1 y VN2, se requiere Contrail Directiva de red. Contrail Directiva de red también puede proporcionar seguridad entre dos redes virtuales al permitir o denegar el tráfico especificado.

Contrail Directiva de red.

Se usa una directiva de red Contrail para permitir la comunicación entre redes virtuales y modificar el tráfico de red virtual. Describe qué tráfico se permite o no entre las redes virtuales. De forma predeterminada, sin una directiva de red Contrail, se permite la comunicación dentro de la red virtual, pero se rechaza el tráfico de la red entre virtuals. Cuando cree una directiva de red, debe asociarla con una red virtual para que surta efecto.

Note

’No confunda contrail Directiva de red con la Directiva de red Kubernetes. Son dos características de seguridad diferentes y funcionan por separado.

Grupo de seguridad (SG).

Un grupo de seguridad, a menudo abreviado como un SG, es un grupo de reglas que permite a un usuario especificar el tipo de tráfico que se permite o no a través de un puerto. Cuando se crea una VM o un conjunto Pod en una red virtual, se puede asociar un SG con la VM cuando se inicia. A diferencia de Contrail Directiva de red, que se configura de manera global y está asociada a las redes virtuales, el SG se configura por puerto y se aplicará a los flujos de vRouter específicos asociados con el puerto de la VM.

Limitación de políticas de red Contrail y SG

En los entornos de nube Contrail modernos, a veces es difícil usar solo la Directiva de red y el grupo de seguridad existentes para lograr los objetivos de seguridad deseados. Por ejemplo, en los entornos de nube, las cargas de trabajo se pueden mover de un servidor a otro y, probablemente, la IP suele estar cambiando. El hecho de depender de las direcciones IP para identificar los puntos de conexión que deben protegerse es una molestia. En su lugar, los usuarios deben aprovechar los atributos de nivel de aplicación para manipular las políticas,’de modo que las políticas no tengan que actualizarse cada vez que se mueva una carga de trabajo y cambie el entorno de red asociado. Asimismo, en producción, es posible que un usuario necesite agrupar cargas de trabajo basadas en combinaciones de etiquetas, lo que es difícil de traducir al idioma existente de una directiva de red o SG.

Contrail Directiva de seguridad del cortafuegos.

Este capítulo presenta otra característica importante: Contrail Directiva de seguridad del cortafuegos.

Contrail Directiva de seguridad del Firewall permite la desacoplamiento del enrutamiento de las políticas de seguridad, vand proporciona segmentación de la multidimensión y portabilidad de las políticas, a la vez que mejora de manera significativa las funciones de análisis y visibilidad del usuario.

A fin de implementar la segmentación del tráfico de varias dimensiones, Contrail Firewall introduce el concepto de etiquetas. Las etiquetas son pares clave-valor asociados con diferentes entidades en la implementación. Las etiquetas se pueden definir previamente o personalizadas o definidas por el usuario. Las etiquetas Contrail son prácticamente lo mismo que las etiquetas Kubernetes. Ambos se utilizan para identificar los objetos y las cargas de trabajo. Como puede ver, esto es similar a Kubernetes diseño de políticas de red, y es natural que Contrail utilice su Directiva de seguridad de Firewall para implementar Kubernetes Directiva de red. Teóricamente, Contrail Directiva de red o SG se pueden ampliar para hacer el trabajo, pero la compatibilidad de las etiquetas con Contrail Firewall hace que sea mucho más sencilla

Note

A veces Contrail Directiva de seguridad del cortafuegos se conoce como Contrail seguridad, Contrail firewall, seguridad de Firewall de Contrail o simplemente Contrail FW.