云服务器免_服务器和云主机

云存储服务 虚拟云 浏览

小编:整合/纤毛/联网/安全/microservicesCilium是一种开源技术,在数据包和应用程序级别为大型容器化环境提供网络安全性。Cilium可以轻松地与Kubernetes集群集成,无论是自我管理还是托管服务

用数据狗监测纤毛

整合/纤毛/联网/安全/microservicesCilium是一种开源技术,在数据包和应用程序级别为大型容器化环境提供网络安全性。Cilium可以轻松地与Kubernetes集群集成,无论是自我管理还是托管服务(例如Amazon EKS、Google GKE和Microsoft AKS)。您也可以使用梅索斯。传统的防火墙根据IP地址和端口过滤流量。然而,在动态集装箱基础设施中,这些参数随着主机的变化而不断变化。Cilium通过使用Linux内核的Berkeley Packet Filter(BPF)透明地使用容器标识或抽象(如Kubernetes服务或pod)强制执行安全策略,从而克服了这一问题,并降低了性能开销。它还通过使用常见协议(如HTTP、gRPC和卡夫卡。我们'很高兴地宣布,Datadog现在与Cilium集成,帮助您确保正确部署和执行网络策略,从而使您的微服务免受攻击。一旦您启用了集成,您就可以很容易地看到Cilium代理和操作员公开的关键指标,如端点再生、数据包流和开箱即用仪表板中的策略导入错误。跟踪端点运行状况和生命周期事件cilium指的是一组或多个容器,它们共享一个公共IP地址,例如Kubernetes pod作为端点。Cilium基于其标签解析每个端点的标识,这些标签是Cilium自动从容器运行时和编排系统等源提取的键值对。位于每个节点上的Cilium代理使用这些标识来实施安全策略,以确定允许哪些端点与每个端点进行通信其他。集装箱化基础设施是高度动态的,容器经常被创建和销毁,因此端点的生命周期相对较短。我们的集成为您提供了端点运行状况和生命周期事件的高级视图,以帮助您跟踪启动和运行的端点数量。如果您发现要阻止的流量正在通过,或者反之亦然,这意味着您的策略没有得到正确执行。这可能表明Cilium没有管理所有应该属于这些策略的容器。例如,Cilium不会追溯应用安全策略,因此在部署Cilium之前创建的任何容器都不会被覆盖。要进行故障排除,请比较端点的数量(cilium.endpoint.state)在特定节点上运行的POD数。这告诉你目前有多少豆荚不受纤毛控制。如果您运行的是Kubernetes,那么可以运行./contrib/k8s/k8s-非托管.sh在你的cilium目录中编写脚本来识别这些特定的豆荚。这揭示了安全基础设施中的弱点,您应该集中精力。例如,您可能需要重新部署那些较旧的pod,以便它们处于安全保护之下策略。监视器终结点重新生成持续时间网络配置或终结点标识的更改会导致在终结点上强制实施的安全策略也发生更改。当这种情况发生时,Cilium会重新生成相关的端点来更新它们的BPF配置。这反映在端点的状态更改为等待重新生成或重新生成。由于网络强制执行最新的策略规则非常重要,因此您应该监视重新生成事件的持续时间(cilium.endpoint.regeneration_time_stats.再生.秒。计数),特别是在集群扩展时,以确保它们能够及时完成。端点再生时间的突然增加可能表明纤毛无法跟上环境中容器的搅动速度。使用仪表板将端点再生时间与Cilium代理(在集群中的每个节点上运行)和Operator(在集群级别运行)的CPU和内存使用情况以及Docker或Kubernetes度量(例如,跟踪挂起容器的数量)相关联。这可以帮助您有效地排除故障并确定是否需要为节点提供更多资源,以便Cilium能够与集群。知道吗当数据包被丢弃时,Cilium代理使用策略集来确定允许哪些流量进出节点,同时丢弃其余的流量。每个规则都包含一个入口部分,其中包含需要应用于进入端点的流量的规则,以及一个出口部分,它指定必须应用于离开终点。我们的开箱即用的仪表板通过跟踪转发或丢弃的传入和传出数据包的数量的图形,提供Cilium如何控制集群中的流量的可见性。如果你看到一个不寻常的峰值下降的包(纤毛脱落计数例如,它可能表示服务攻击或策略配置错误,其中合法访问尝试被错误地归类为非法。Cilium标记丢弃的数据包,说明它们是入站还是出站以及丢弃的原因,例如被拒绝的策略或不可路由的IP地址。Datadog会自动将这些标签作为标记拉入,并将它们应用于您的度量。这使您可以轻松地筛选图表,以确定峰值的原因,并解决当前策略实施中的问题。您还可以设置异常警报,以便在数据包流发生意外更改时通知您的安全团队,这需要进一步调查。检测策略重要性问题确保执行正确数量的策略对于避免安全实现中的差距至关重要。如果策略规则配置中存在语义错误,Cilium将无法验证该规则,而将直接忽略它。因此,如果您发现加载的策略较少(cilium.policy.count)您可以通过验证当前正在将哪些策略规则应用于终结点来进行故障排除。与端点一样,策略规则由标签标识。在一个cilium代理pods中运行命令ciliumendpoint get会为与指定端点对应的每个规则生成一个标签列表。然后可以将这些标签与cilium policy get一起使用,以检索cilium为该端点强制执行的策略列表。这可以帮助您确定策略是否丢失,以便在策略定义是由于导入错误而导致的情况下更正策略定义。通过Datadog保护您的容器,您可以深入了解Cilium在容器环境中实施网络安全策略的方式,以及400种其他可能也在运行的技术。如果您已经在使用Datadog,请查看我们的文档,了解如何设置集成并立即开始监视Cilium。否则你可以免费签14天。

当前网址:http://www.vmchk.com/tutorials/8060.html

 
你可能喜欢的: