إن أمان شبكة (Kubernetes) يتطلب فهمًا عميقًا لبنية (Kubernetes)، بالإضافة إلى الإلمام بالأدوات التي يقدمها محليًا للمساعدة في تأمين الشبكات، مثل أساسيات الشبكة وأدوات الجهات الخارجية التي يمكنها زيادة قوة الشبكات.
أساسيات شبكات الأمان Kubernetes
1. أهداف الشبكة
في (Kubernetes)، تخدم الشبكات هدفين رئيسيين هما:
- الشبكات الداخلية: تتعامل الشبكات مع حركة المرور الداخلية التي تسهل الاتصالات بين البودات و(Kubernetes) والموارد الأخرى داخل المجموعة، عادةً ما تستخدم الشبكات الداخلية الشبكات الفرعية الخاصة وعناوين (IP) وتكون معزولة عن الإنترنت العام.
- الشبكات الخارجية: أعباء العمل التي تحتاج إلى الاتصال بالإنترنت تستخدم عناوين (IP) العامة.
2. خادم وكيل Kube
الخدمة التي تدير تدفقات حركة المرور داخل (Kubernetes) هي خادم وكيل (kube)، يعمل (Kube-proxy) على كل نقطة في مجموعة (Kubernetes) ويعيد توجيه الحزم إلى الحاويات المستضافة على تلك النقاط استنادًا إلى عناوين (IP) الخاصة بالحاويات والمنافذ، يعتمد (kube-proxy) على خدمات الشبكة على مستوى نظام التشغيل، مثل (iptables في Linux)، للتحكم في حركة المرور.
3. ملحقات CNI
يستخدم (Kubernetes) المكون الإضافي (CNI) لإنشاء واجهة شبكة افتراضية يمكن للحاويات استخدامها، كما يمكن استخدام مكونات (CNI) الإضافية لدمج (Kubernetes) مع مجموعة متنوعة من أنظمة إدارة تكوين الشبكات التابعة لجهات خارجية، مثل تلك التي تعمل محليًا على السحابات العامة، مثل: (Azure Virtual Networks و AWS Network Interfaces).
تتوفر مكونات (CNI) الإضافية أيضًا لدعم الأنظمة الأساسية مثل: (Project Calico و Weave Net)، والتي تم تصميمها لتوفير طريقة لتوحيد تكوينات الشبكات عبر البيئات غير المتجانسة أو الهجينة.
ملاحظة: “CNI” اختصار لـ”Container Network Interface”.
4. شبكات الخدمة
بالإضافة إلى مكونات (CNI) الإضافية، تستفيد مجموعات (Kubernetes) الإنتاجية عادةً من شبكة خدمة للمساعدة في تبسيط الشبكات، تعمل شبكات الخدمة على أتمتة اكتشاف الموارد المختلفة على الشبكة.
توفر معظم شبكات الخدمة أيضًا إمكانية مراقبة الشبكة ووظائف الأمان، لا توفر (Kubernetes) نفسها شبكة خدمة أصلية، ولكنها يمكن أن تتكامل مع معظم شبكات الخدمة السائدة، مثل: (Istio و Traefik و NGINX).