Представлен (https://cilium.io/blog/2019/02/12/cilium-14/) релиз проекта Cilium 1.1 (https://cilium.io), в рамках которого при участии компаний Google, Facebook, Netflix и Red Hat развивается система для обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров и процессов. Для разграничения сетевого доступа в Cilium применяются еBPF (https://en.wikipedia.org/wiki/Berkeley_Packet_Filter#Extensi... (Berkeley Packet Filter) и XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path). Код компонентов, работающих на уровне пользователя, написаны на языке Go и распространяются (https://github.com/cilium/cilium) под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.
Основу Cilium составляет фоновый процесс, который работает в пространстве пользователя и выполняет работу по генерации и компиляции BPF-программ, а также взаимодействию с runtime, обеспечивающим работу контейнеров. В форме BPF-программ реализованы системы обеспечения связности контейнеров, интеграции с сетевой подсистемой (физические и виртуальные сети, VXLAN, Geneve) и балансировки нагрузки. Фоновый процесс дополняют управляющий cli-интерфейс, репозиторий правил доступа, система мониторинга и модули интеграции с поддержкой Kubernetes, Mesos, Istio, и Docker. Производительность решения на базе
Cilium при большом числе сервисов и соединений в два раза опережает решения на базе iptables из-за больших накладных расходов на перебор правил. Более подробно про особенности Cilium можно прочитать в тексте анонса (https://www.opennet.me/opennews/art.shtml?num=48556) первого выпуска проекта.
Основные новшества:
- Добавлена возможность маршрутизации и проброса трафика сервисов между несколькими кластерами Kubernetes, а также предложена концепция глобальных сервисов (вариант штатных сервисов Kubernetes с бэкендами в нескольких кластерах). Новая функциональность позволяет в случае выхода из строя бэкендов, обеспечивающих работу сервиса в одном кластере, автоматически перенаправить трафик к обработчикам данного сервиса в другом кластере.
- Реализованы средства для задания правил обработки запросов и ответов DNS в привязке к группам контейнеров (pods), позволяющие увеличить контроль за обращением к внешним ресурсами из контейнеров. Дополнительно появилась поддержка ведения лога всех запросов и ответов DNS в привязке к pod-ам. Помимо правил доступа на уровне IP-адресов теперь можно определить какие DNS-запросы и DNS-ответы допустимы, а какие нужно блокировать, например, можно блокировать доступ к определённым доменам или разрешить запросы только для локального домена, без необходимости отслеживания изменений привязки доменов к IP. В том числе реализована возможность использования возвращённого в процессе запроса к DNS IP-адреса для ограничения последующих сетевых операций (например, можно разрешить только обращение к IP-адресам, которые были возвращены при резолвинге в DNS, т.е. предоставлен своеобразный межсетевой экран, манипулирующий доменами вместо IP, с временем жизни привязок в соответствии с определённым в DNS TTL);
- Добавлена экспериментальная поддержка прозрачного шифрования всего трафика между сервисами. Шифрование может применяться как для трафика между разными кластерами, так и в пределах одного кластера. Также добавлена возможность аутентификации узлов, что позволяет размещать кластер в не заслуживающей доверия сети;- Добавлена (https://docs.cilium.io/en/v1.4/gettingstarted/ipvlan/) экспериментальная поддержка сетевых интерфейсов IPVLAN (https://www.kernel.org/doc/Documentation/networking/ipvlan.t... позволяющих добиться более высокой производительности и снизить задержки при взаимодействии между двумя локальными контейнерами;
- Добавлен модуль для интеграции с Flannel (https://github.com/coreos/flannel), системой для автоматизации настройки сетевого взаимодействия между узлами в кластере Kubernetes, позволяющий работать бок о бок или запустить Cilium поверх Flannel (сетевое взаимодействие от Flannel, политики доступа и балансировка от Cilium);- Обеспечена экспериментальная поддержка определения правил доступа на основе метаданных AWS (Amazon Web Services), таких как метки EC2, группы безопасности и имена VPC;
- Предоставлена (https://docs.cilium.io/en/v1.4/gettingstarted/k8s-install-gke/) возможность запуска Cilium в GKE (Google Kubernetes Engine в Google Cloud) с использованием COS (https://cloud.google.com/container-optimized-os/) (Container-Optimized OS);
- Обеспечена тестовая возможность для использования Sockmap BPF для ускорения коммуникаций между локальными процессами (например, полезно для ускорения взаимодействия между sidecar proxie и локальными процессами);
- Добавлены дополнительные метрики для системы мониторинга Prometheus и предложен новые графики в сводной панели Grafana;
- Добавлена поддержка Kubernetes 1.13 и новых версий CRI-O v
- Проведена большая работа по оптимизации потребления памяти и нагрузки на CPU.
URL: https://cilium.io/blog/2019/02/12/cilium-14/
Новость: https://www.opennet.me/opennews/art.shtml?num=50144
Файрвол на основе DNS очень интересная идея. Кто-нибудь видел готовое решение для обычных систем, чтобы можно было для некоторых пользователей заблокировать vk.com и youtube.com и он сам нужные IP периодически обновлял и блокировал.
Или руками колхозить через cron нужно?
Для обычных систем есть роскомнадзор! Всё обновляет за тебя, никакого cron-а.
Рикамендую.
Также доступно новое мобильное приложение Росгоскомнадзор!
Позволяет быстро и удобно заблокировать нежелательный вам контент сразу для всех!
А также новинка! Плагин Росгоскомнадзор теперь в вашем браузере!
> Позволяет быстро и удобно заблокировать нежелательный вам контент сразу для всех!блин, эта фича, оказывается, платная :-(
У dnsmasq есть функционал писать данные ресолвинга выбранных доменов в ipset. Как вариант.
Что значит «блокировал IP на основе DNS»?Если ваш пользователь ходит через ваш DNS, поднимите Bind и укажите в нём зону vk.com. Все остальные соединения на порт 53 блокируйте. DoH пока не пришла в нашу жизнь, как придёт, придётся блокирнуть ещё и эти IP.
Если ваш пользователь не ходит через ваш DNS, а нужно блокировать только IP адреса, запускайте по крону скрипт, который парсит выхлоп dig и прописывает блокировку в iptables.
Вы наверное путаете ipset и iptables
Что значит путаю ipset и iptables?
ipset - модуль из состава iptables
>заблокировать vk.com и youtube.com<sarcasm>Просто подождите ещё пару лет и их заблокируют за вас</sarcasm>
Ну а так - hosts по GPO.
Вы страной ошиблись. Кое-где уже заблокировали контакт.
> Вы страной ошиблись. Кое-где уже заблокировали контакт.Лол, это в какой Уганде? У нас в России не блокировали.
Вы же знаете, что ограничение ютубов на рабочем месте на производительность труда не влияет? А если дело в потреблении трафика, то есть шейперы и квоты.
>ограничение ютубов на рабочем месте на производительность труда не влияетПруфы предоставлены британскими учёными?
Knot Resolver позволяет фильтровать DNS-трафик, если не смущает Lua для описания логики работы.
Где слово Berkeley - там тухло.
> Google, Facebook, Netflix и Red HatЭто необходимо вписать в историю! А к стати, чьи там головы выдумывают, как мы нам их развернуть, что им не продохнуть? ;)
Можно списочек, поименно (с фото)?