Kubernetes Networking Admins, посещающие Kubecon+Cloudnativecon EU в Лондоне на следующей неделе, необходимо посетить стенд S653. Там поставщик услуг облачных сети Aviatrix будет демонстрировать свой новый брандмауэр Kubernetes.
«Одна из вещей, которых у нас не было в пространстве Kubernetes,-это действительно хорошее сетевое решение Kubernetes-Aware и безопасность»,-сказал Анирбан Сенгупта, технический директор Aviatrix, в интервью TNS. «Хардкорные сети на самом деле не интегрированы в Kubernetes».
До Aviatrix Sengupta была в Google и была частью команды услуги компании Anthros Commercial Kubernetes, сосредоточившись на сетке обслуживания. Таким образом, он был прямо в середине перекрывающейся диаграммы Венна для Kubernetes, сети и предприятия.
Брандмауэр Aviatrix Kubernetes обеспечивает управление на уровне предприятий в облачные, мульти-облачные и гибридные облачные развертывания. Построенный на политиках, основанных на намерениях, он решает ряд общих проблем при внедрении K8s на предприятие, такие как управление IP-адресами и интеграция с не Kubernetes, рабочими нагрузками на основе виртуальных машин.
Сетевые сложности с kubernetes
На сегодняшний день безопасность Kubernetes в основном была сосредоточена на трафике безопасности восток-запад в самом кластере, с интерфейсами контейнерных сетевых интерфейсов (CNI) и сервисными сетками.
По данным Aviatrix, это привело к эксплуатационным силосам в разных средах. Он также ограничил совместимость с помощью ресурсов без Kubernetes, таких как рабочие нагрузки традиционных виртуальных машин (VM).
Это приводит к дублированию диагностических наборов инструментов и фрагментированных политик для разных сред. Это также дает вредоносным хакерам больше площади поверхности для работы. Оказавшись в среде Kubernetes, злоумышленник может довольно легко перемещаться.
IP -истощение
Одной из конкретныхбовых точек является корпоративное истощение IP -адресов в сети. Aviatrix подсчитал, что Kubernetes использует в 10 раз больше IP-адресов, чем обычные развертывания на основе виртуальной машины.
Крупномасштабные развертывания могут исчерпывать распределение IP-адресов организации, даже при использовании облачных нативных инструментов, которые пытаются абстрагировать управление IP-адресами.
«У нас есть клиенты, у которых есть сотни стручков, и даже клиент, у которого есть 1000 стручков, которые все являются перекрывающимися IP -адресами», — сказал Сенгупта. Компании скупы со своими IP -адресами, учитывая, что они хотят сохранить их для внешнего использования.
Как правило, это не проблема, пока организация не начнет объединять несколько кластеров вместе, а затем перекрывающиеся IPS вызывают путаницу.
Проблема усугубляется использованием бесклассовых блоков междоменной маршрутизации (CIDR), метод более эффективного использования IP-адресов, который, когда используется с Kubernetes, может еще быстрее истощать IP-адреса.
Брандмауэр предприятия для Kubernetes
Брандмауэр Aviatrix Kubernetes предназначен для оптимизации операций по ресурсам Kubernetes и не Kubernetes, объединению управления и безопасности в рамках архитектуры с нулевым дозом.
Брандмауэр знаком с терминологией пространства имен Kubernetes. Такие понятия, как «стручки», «узлы», «ярлыки» и «услуги», могут использоваться разработчиками для описания политического обеспечения.
«Все эти политики могут быть реализованы правильно в качестве декларативного управления политиками в Интернете»,-сказал Сенгупта. «Там нет IP -адресов».
Сервис имеет динамическую сетевую политику, обеспечивая динамическое распределение IP-адреса, разрешение конфликтов CIDR в реальном времени и правоприменение на основе идентификации-как для рабочих нагрузок, так и для виртуальных машин.
В результате он может управлять перекрывающимися диапазонами IP -адресов между кластерами и более широкой сетью посредством расширенных возможностей NAT, позволяя организациям развертывать кластеры Kubernetes с достаточными распределениями IP.
По данным компании, ключевые функции включают:
- Гранулярная безопасность на основе идентичности: Политическое обеспечение, основанное на идентификации Kubernetes, обеспечивает динамическую безопасность с учетом рабочей нагрузки.
- Объединенная гибридная и многопользовательская видимость: Предприятия получают видимость в реальном времени в трафике Kubernetes во всех средах, повышая наблюдаемость и обнаружение аномалий.
- Интегрированная безопасность для виртуальных машин и Kubernetes: Единственная модель безопасности объединяет политики безопасности в разных контейнерных и устаревших приложениях, упрощая управление и правоприменение.
- Управление и соблюдение выходного движения: Принудительная отправная фильтрация на основе политики поддерживает соответствие такими стандартами, как PCI-DSS, HIPAA и SOC 2.
- Автоматическое управление политикой: Централизованная плоскость управления оптимирует определение и обеспечение соблюдения политик безопасности в условиях многоклубь и многокрасных сред.
Сервис работает с Amazon Web Services, Azure, Google Cloud и в средах в Prem.
В апреле Aviatrix проведет вебинар для интеграции сети Kubernetes с предпринимательской инфраструктурой. Зарегистрируйтесь здесь. Kubecon управляется облаком Native Computing Foundation.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Joab Jackson является старшим редактором нового стека, охватывающего облачные нативные вычисления и системы системы. Он сообщил об инфраструктуре и развитии IT более 25 лет, в том числе в IDG и государственных компьютерных новостях. До этого он … читал больше от Джоаба Джексона
