写点什么

如何通过 Kubernetes 网络策略隔离 1500 个微服务

  • 2020-01-19
  • 本文字数:1184 字

    阅读完需:约 4 分钟

如何通过Kubernetes网络策略隔离1500个微服务

Monzo 安全团队撰文分享了他们实现 Kubernetes 网络策略的经历,该策略通过 Calico 的 API 为 1500 个微服务提供了隔离。


Monzo 是一家面向移动端的数字银行,它们在 AWS 上运行其核心基础设施。除了使用Kubernetes托管其微服务外,Monzo 还使用Apache Cassandra 作为主要数据库,使用 Apache Kafka 进行消息传递,并使用 Go 实现了其大部分程序代码。Monzo 安全团队将采用零信任网络作为他们的目标之一。零信任平台的原则是,网络内外的任何一个实体都是不被信任的,要访问私有信息必须要经过验证。Monzo 后端的每个服务只允许访问一个经过预先批准的服务列表。Monzo 大约拥有 1500 个服务,超过 9300 个服务间的交互,这也让该任务变得非常困难。在构建了一个通过分析代码来派生策略的自定义工具集之后,Monzo 团队在 Kubernetes 上使用了针对 Calico 的网络策略来提供隔离。


团队首先通过隔离一个服务来测试他们的初步方案。他们编写了一个名为 rpcmap 的自定义工具,这个工具可以通过分析静态代码来发现服务之间的依赖关系。根据 Monzo 后端工程师Jack Kleeman的说法,他们在集成测试或运行时选择静态分析的方式而不是观察的方式,主要是因为:


Monzo 有很多代码路径,没有一个可以涵盖所有内容的集成测试。在运行时,某项服务很少被调用并不意味着它从不会被调用;一间银行可以有一些每年只运行一次的服务进程。


规则必须按照可管理和可读的方式存储,而且不能破坏现有的服务。Monzo 安全团队采用了 Kubernetes 的 NetworkPolicy 来执行规则探测,并使用Calico网络插件来实现网络策略。这种初始方法在可测试性方面非常脆弱,并把维护规则列表的责任交由管理调用服务的团队负责。另一个引入的缺点就是开发团队必须手动编辑 Kubernetes 的配置文件。


为解决这些问题,Kleeman 说:“跟 Calico 社区讨论了网络策略的测试问题后,我们发现可以使用 Calico 的一些无法被 Kubernetes 访问的特性来测试我们的策略。”其中的一个特性允许流量访问网络策略通常不允许的内容,随后记录下来这种情况。Kubernetes网络策略通常采用选择器和标签的方式,在没有采用任何策略的时候,Kubernetes 允许 pod 之间的所有通信。Monzo 将他们的策略配置在最后运行,并监控网络流量来确定哪些服务会丢失数据包。


此后,团队将服务允许的流量列表切换为调用服务的一个属性,而不是目标服务的属性。服务通过标签声明它们在策略的入口(ingress)规范中需要访问到的服务。针对那些调用大量其他服务的服务,例如监控服务,则会按照“服务类型”进行分组,按照这样的准则,就没有必要列出每个服务了。rpcmap 被配置为每次提交时运行,部署管道把规则文件转换为服务标签。团队计划在未来使用服务网格而不是 CNI(容器网络接口)层来实现这一点,他们已经迁移到了一个使用 Envy 的自定义网格。


原文链接:


How Monzo Isolated Their Microservices Using Kubernetes Network Policies


2020-01-19 09:003487

评论

发布
暂无评论
发现更多内容

Kubernetes手记(17)- 调度策略

雪雷

6月日更

Redis入门二:数据类型

打工人!

redis 6月日更

因女性而繁荣,适老化科技的钱景与挑战

脑极体

架构训练营模块6作业

Neil43

架构训练营

大型分布式 Web 系统的架构演进

xcbeyond

分布式 架构演进 6月日更

Flink Side Outputs

Alex🐒

flink flink1.13

聊聊 Redis 过期键删除策略

蘑菇睡不着

Java redis

模块六-创业公司电商微服务

华仔架构训练营

聊聊 Redis 内存淘汰策略

蘑菇睡不着

Java redis

推荐算法工程师需要的知识储备(十三)

Databri_AI

算法 推荐系统 成长路线

[译] R8 优化:值假设

Antway

6月日更

架构训练营模块六作业

Geek_e0c25c

架构训练营

网络攻防学习笔记 Day50

穿过生命散发芬芳

网络攻防 6月日更

☕【JVM技术探索】各种类型对象占用内存情况分析(上)

码界西柚

JVM java对象分析 6月日更 内存分配

Redis 五种数据结构以及三种高级数据结构解析

蘑菇睡不着

Java redis

同被指责「电力浪费」,如今的区块链会是 1999 年的互联网吗?

CECBC

HBase 介绍

Alex🐒

HBase

Flink State 和 Fault Tolerance(三)

Alex🐒

flink 翻译 flink1.13

架构实战营模块6课后作业

大肚皮狒狒

Nginx简单属性和使用总结

赵镇

电商微服务架构设计

俞嘉彬

架构实战营

(鸡汤文)这一次我终于搞懂了 JavaScript 定时器的 this 指向!

编程三昧

JavaScript 编程 大前端 定时器

你多久没有换手机了?

看山

闲聊 6月日更

优秀中层管理者所具备的特征

石云升

读书笔记 6月日更

超详细Redis数据结构底层实现原理介绍

蘑菇睡不着

Java redis

自然语言处理的发展

Qien Z.

自然语言处理 6月日更

电商平台微服务拆分(简化版)

白发青年

架构实战营

我国区块链产业发展面临的问题

CECBC

拆分电商系统为微服务——架构师训练营作业六

开拓纪

架构是训练营 作业六

【21-13】PowerShell 运算符

耳东@Erdong

PowerShell 6月日更

模块六 作业

夏日

架构实战营

如何通过Kubernetes网络策略隔离1500个微服务_容器_Hrishikesh Barua_InfoQ精选文章