Rancher Managed Network实践

于 2016-12-23 09:41:06 发布
阅读量1.8k 收藏
点赞数
分类专栏: Rancher Docker 文章标签: Docker 网络 实践 IPSec 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rancherlabs/article/details/53835564
版权
Rancher 同时被 2 个专栏收录
215 篇文章 13 订阅
订阅专栏
Docker
45 篇文章 4 订阅
订阅专栏

原文来源:Rancher Labs

需求提出

我们知道,Rancher原生的Managed网络是通过IPsec来建立起安全隧道来保障各service之间可达性的。相比于其他一些VPN技术,IPSec最大的优势在于其安全性;这种安全除了指业务数据加密传输外,还包括了一套秘钥交换的安全机制,这是诸如VXLAN之类的其他L3 VPN技术无法匹敌的。但正是为了提供这一层安全机制,IPSec需要在数据交换过程中对报文做逐一加密,势必消耗CPU资源,影响传输效率。

我们做过一些测试:在与Host网络的iperf测试比较中,Managed网络表现出来的性能损耗较严重(当然这也与运行Rancher的主机配置有关)。可惜在Rancher当前正式的Release版本中,除Managed网络外,并未提供其他的Overlay网络作为可选项。

现实是某些用户拥有自建数据中心,Rancher被部署到数据中心内部,网络安全相对已经较有保障。受到业务性质的影响,一些场景对网络传输效率的要求较高。此时Managed网络就显得有些无法覆盖需求了。于是,我们思考能否在不考虑安全性的前提下对Rancher的Managed网络做一些修改,从而提高网络传输效率。

一个较直接的思路就是去除对业务报文的加密过程。

IPSec基本概念

这一节不准备详细讲解IPSec原理,只将一些重要概念点到为止,有兴趣的同学可以下来研究IETF的RFC。

我们首先用一张图来认识IPSec框架:

这里写图片描述

IPSec模式

  1. 传输模式:适用于两台主机之间的数据保护。

  2. 隧道模式:适用于建立site-2-site的安全VPN隧道。(Rancher Managed网络显然是要为Host上的所有Containers打通一条加密隧道,是使用隧道模式)

IPSec安全协议

安全协议包括AH、ESP以及它们的组合AH-ESP,Rancher中使用的是ESP,通过下图我们可以形象的了解IPSec的模式和安全协议之间的关系:

这里写图片描述

另外,有抓过包的同学会发现,Rancher的IPSec报文与这里基于Tunnel模式+ESP安全协议的封包格式有些不同。实际抓到的报文在外层的IP头部之后,ESP域之前,还包含了一个使用4500端口的UDP头部。这是NAT-T功能,它的实现机制是首先判断是否两端设备是否都支持NAT-T,然后检测链路上是否存在NAT,一旦两个条件都满足就启动NAT-T,将所有的业务报文使用UDP的4500端口进行传输。

保障私密性

IPSec支持使用多种加密算法对传输的业务数据进行加密。通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性。

加密算法分为:对称加密算法(DES/AES/3DES等)与非对称加密算法(比如RSA)

这里写图片描述

保障完整性

通过对数据进行HASH运算,产生类似于指纹的数据摘要,连同数据一起传输到对端,以确认数据未被非法篡改,保障数据完整性。

常见的HASH算法有MD5/SHA等。

这里写图片描述

保障真实性

对称加密和HASH都要求通信双方具有相同的密钥,在双方之间安全地传递密钥就需要一套密钥交换算法。

通过身份认证可以保证数据的真实性,确保数据确实是由特定的对端发出的。

常用的身份认证方式包括:Pre-shared key 预共享密钥、 RSA Signature 数字签名等。

下图是隧道模式的ESP封包流程,它反映了如何使用加密算法和验证算法来生成最终的加密报文。

这里写图片描述

IKE

另外,IPSec还包括IKE。IKE是一种安全机制,提供端与端之间的动态认证,为IPsec提供了自动协商交换密钥、建立SA的服务,简化IPsec的使用、管理(配置和维护)工作。IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥。有了IKE,IPsec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。

IKE使用UDP端口500,通过使用特定的密钥交换算法进行秘钥交换。常见的算法有DH和RSA算法。

讲了这么多理论的东西,现在我们回到Rancher,来看看Rancher的Managed网络是如何工作的。

Rancher Managed网络原理

通过进入agent-instance容器查看进程信息可以发现其主要启动了如下进程:
1. rancher-metadata
2. rancher-dns
3. rancher-net
4. charon
5. haproxy
6. host-api

rancher-metadata启动了一个web server,用于响应该agent所辖containers的metadata请求。

rancher-dns实现了一个监听在IP地址:169.254.169.250上的skydns实例,用于响应该agent所辖container的dns请求。

haproxy其实是一个负载均衡程序,其自带对member指定端口的healthcheck,此处主要用它来对配置了healthcheck的容器做健康检查。

host-api在该container内用于将haproxy采集到的数据上报到cattle。

我们重点来分析rancher-net和charon:

rancher-net的配置主要基于文件:”/var/lib/cattle/etc/cattle/ipsec/config.json” , 该文件包含了Environment内部所有Managed Network的Container地址信息。

具体格式如下:

这里写图片描述

rancher-net通过启动charon来往xfrm中下发配置,从而维护IPSec的链路和policy。

charon用来实现IKE之间的协商并下发rule到xfrm,下一章节实践中对IPSec加密方式的修改就要通过调用charon的接口来实现。

rancher-net除了通过charon下发xfrm state外,还需要配置xfrm policy,这一块的实现是在rancher-net中直接执行“ip xfrm policy add”来实现的。

这里写图片描述

这里写图片描述

除此之外,还有一个可以查看strongswan状态的命令行接口swanctl:

这里写图片描述

在IPSec之外,rancher-net还需要监听所有的ARP请求,并响应那些目标IP地址通过IPSec tunnel可达,但又不在本Host的ARP请求。

这里写图片描述

综上,rancher-net的功能包含:

监听8111端口,响应reload和ping的HTT请求。

当有reload请求时,读取配置文件,将到达配置文件中所有IP的路径都校验一遍:
a.如果有新加主机,添加ipsec隧道;
b.如果有新加container,但是已经存在IPSec,更新xfrm policy;
c.如果有删除执行相反操作。
监听eth0上的ARP请求,响应需要到达IPSec对端IP的ARP请求。

整个IPSec隧道的拓扑如下所示:

这里写图片描述

Managed网络实践

说了这么多,各位都已经蒙圈了吧。话不多少,修改代码环节隆重上场。

代码的修改相对简单,只需要将proposals的第一个加密方式改为null。

如:“null-sha1-modp2048” 代表:
1. 使用对称加密方式为null(不加密);
2. 使用sha1的HASH算法;
3. 使用modp2048的非对称加密算法进行秘钥交换。

这里写图片描述

然后使用Dockerfile.dapper重新编译代码,确保没有编译错误。

我们知道,所有agent上的包均是启动时从cattle拉下来的;因此,通过更新docker image的方式来替换rancher-net是没有用的。

为了做测试,我们先直接将编译出来的rancher-net可执行文件通过docker cp替换掉agent-instance中的rancher-net。

替换并运行,发现charon协商IKE无法成功,提示“ENCRYPTION_ALGORITHM NULL (key size 20) not supported!”。 这是因为我们将加密算法置为了NULL,系统中的charon不支持。

查询官网发现NULL需要IKE中openssl的支持,有可能是rancher在编译charon的时候没有指定编译openssl plugin所致:

这里写图片描述

修改方法是charon编译的时候指定参数–enable-openssl 见:
[https://lists.strongswan.org/pipermail/dev/2011-February/000253.html]

分析代码发现agent-instance在初始化的时候是通过安装“rancher/strongswan-package”生成的包来得到charon的。因此,转到rancher/strongswan-package重新指定./configure –enable-openssl编译charon。

这里写图片描述

生成新的可执行文件后,先执行“ip xfrm state flush” 和 “ip xfrm policy flush”, 然后再重启rancher-net和charon;如果先不刷掉policy和state会导致新添加的ipsec无法生效。

修改之后,环境如下:

这里写图片描述

两个Network Agent容器分别为IPSec的端点,另外,每台host上各运行有一个Iperf容器用于测试。

这里写图片描述

通过swanctl –list-algs可以看到,所有支持的加密算法,其中由于我们load了openssl,已经能够支持NULL了。

这里写图片描述

查看xfrm里的ipsec规则,encryption已经为ciper_null,即不加密。

这里写图片描述

xfrm里的policy列出了到达对端iperf container的策略,即走IPSec tunnel。

跨主机测试

在两台主机上的iperf容器,一个作为iperf服务端,另一个作为客户端做带宽测试。

在测试过程中,需要抓包确认是否修改已经生效,如下:

这里写图片描述

可以看到,ESP sequence之后是0X45 0X00的,显然这是一个RAW的IP header。

为了确认这个信息,我们decode出该IP header中的src IP和dst IP,分别为:
0x0A 0X2A 0XF4 0XFA 和0x0A 0x2A 0xB4 0xF9
0x0A 0X2A 0XF4 0XFA = 10.42.224.250
0x0A 0x2A 0xB4 0xF9 = 10.42.180.249

这两台IP地址正是我们的iperf服务端和客户端容器的IP地址;因此,可以判断此时报文是没有经过加密的;我们的修改已生效。

这里写图片描述

更改前

这里写图片描述

更改后

经在两台千兆网卡的服务器上5分钟iperf测试,使用Rancher原生Managed网络的带宽为600+Mbps,在修改加密方式为NULL之后,iperf测试带宽提升为800+Mbps。

Rancher by SUSE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
加强 Kubernetes 能力:利用 CRD 定义多版本资源的实现方式
08-01 774
CRD,即自定义资源定义(Custom Resource Definition),是 Kubernetes API 中一个强大的扩展机制。本文将介绍 Kubernetes CRD 的版本概念和使用方法;讨论如何在 CRD 中定义多个版本的资源,并讨论资源数据存储和数据转换的实现方式。最后,我们将介绍如何开发 CRD webhook,以便在 Kubernetes 中实现 CRD 版本兼容。
博客
探索容器镜像安全管理之道
07-25 774
最近 Rancher v2.7.4 发布了,作为一个安全更新版本,也让大家对软件供应链安全多了一份思考。本文将围绕其中比较流行的容器镜像安全管理进行探讨和实践。
博客
Rancher Desktop:开发者的终极本地 Kubernetes 解决方案
07-21 339
本文将介绍 Rancher Desktop 如何帮助开发者在本地运行和管理 Kubernetes。
博客
如何在 K3s 中使用网络策略
06-01 715
本文将介绍如何在示例项目中使用网络策略,并解释它在 K3s 中的工作原理,从而帮助用户提高部署的安全性。
博客
实战指南:使用 kube-prometheus-stack 监控 K3s 集群
10-12 544
随着容器化应用的普及,Kubernetes 成为了管理和编排这些容器的首选平台。对于资源受限的生产环境和边缘部署来说,K3s 是一个理想的轻量级 Kubernetes 发行版;为了确保 K3s 集群的稳定性和性能,监控是至关重要的。本文将介绍如何通过 kube-prometheus-stack 来监控 K3s 集群的运行状态。
博客
深入了解 Rancher Desktop 设置
08-14 979
Rancher Desktop是在本地构建和部署 Kubernetes 的最快捷方式。本文将介绍 Rancher Desktop 的功能和特性,以及 Rancher Desktop 作为容器管理平台和本地运行 Kubernetes 的所有优势。
博客
托管和非托管 Kubernetes 管理平台详解(第二部分)
07-21 298
托管和非托管 Kubernetes 管理平台分别有哪些优势和不足?在本系列的第一篇文章中,我们分析了托管 KMP,探讨了它们的潜在好处和客户群体。本文是该系列的第二篇,将研究非托管 KMP ,并分析可以从这种解决方案中获益最多的组织。
博客
托管和非托管 Kubernetes 管理平台详解(第一部分)
07-21 345
托管和非托管 Kubernetes 管理平台分别有哪些优势和不足?我们将通过两篇文章进行详细介绍,帮助您选择更适合自身需求的平台。首先,让我们了解一下托管的 Kubernetes 管理平台(KMP)。
博客
利用 kube-vip 实现 K3s 高可用部署
07-10 619
K3s 本身可以自动实现控制平面的高可用,但缺少一个具有高可用的访问控制平面入口;毕竟,用户不想依靠一个单一的节点来访问 Kubernetes 集群的 API。对此,用户可以借助 kube-vip 工具来实现 K3s 控制平面的高可用,从而确保 K3s 集群在面临故障时仍能提供稳定可靠的服务。本文将对此进行详细介绍。
博客
一文读懂如何将 Rancher 下游集群升级到 Kubernetes v1.25
05-25 905
本文将讨论如何将 Rancher 管理的下游集群升级到 Kubernetes v1.25,包括如何使用 Rancher 特定的机制来应用 Pod Security Admission 配置,以及如何从 Rancher 维护的工作负载中删除 PodSecurityPolicies。本文是一个示例教程,建议先在非生产环境中运行这些步骤来熟悉流程,然后再决定你的生产环境需要如何操作。
博客
如何通过 Rancher 轻松实现多云部署
05-05 757
虽然多云的优势很多,但是管理多云 Kubernetes 的困难还是让人望而却步。Rancher 是一个开源的企业级 Kubernetes 管理平台,能够实现 Kubernetes 集群在混合云和本地数据中心的集中部署与管理,解决了多云 Kubernetes 部署的挑战。本文将详细介绍如何通过 Rancher 在多云场景中轻松使用 Kubernetes。
博客
Epinio:Kubernetes 的应用程序开发引擎
04-28 871
Kubernetes 已成为容器编排的事实标准,改变了我们的开发流程。对于没有Kubernetes经验的开发者,如何将应用部署到Kubernetes集群上是一个大挑战。这时,一个能够将源代码自动部署到Kubernetes集群中的工具就变得至关重要。Epinio是一个由Kubernetes驱动的应用开发引擎,只要将它添加到你的集群中,就可以创建自己的PaaS解决方案,可以在其中部署应用程序,而无需自己建立基础设施。
博客
使用 BCI 的五个理由
03-10 559
将应用程序容器化需要使用镜像,而镜像通常是基于语言的。镜像提供商有很多,包括将镜像提交到镜像仓库的个人贡献者,以及企业级镜像提供商等。你也可以在开发中使用基于操作系统的镜像。但在使用镜像过程中,我们往往会遇到一些问题。
博客
Rancher Prime 为平台工程提供面向 K8s 的弹性能力
03-01 478
平台工程是一门设计和构建工具链与工作流的学科,这些工具链和工作流可以为云原生时代的软件工程组织提供自助服务功能。当下,Kubernetes 已然成为应用落地部署的最优选择。平台工程承载了应用迭代和部署验证的重任,需要建立提供面向 Kubernetes 的弹性能力。
博客
企业容器云管理平台选型指南
02-24 772
容器云管理平台是一个中间态的产品,对下能够实现集群的生命周期管理,对上能够实现对 Kubernetes 上运行的应用的生命周期管理,同时还需具备企业所需的功能。有不少厂商提供了优秀的解决方案,面对琳琅满目的产品,我们该如何选择?
博客
设备太分散?如何一站式管理边缘 OS、K8s 和应用?
02-23 709
在边缘侧运行 K8s 集群面临诸多挑战,网络难以保障、硬件配置低,本文将为您介绍在边缘侧运行K8s 集群应具备的能力和方法。
博客
通过 Rancher 实现 NeuVector 安全事件监控和告警
02-14 925
NeuVector 是 SUSE 开源的端到端的全生命周期容器安全管理平台,目前 NeuVector 默认只在平台内对安全事件进行提示,并没有直观的对外输出口,本文将介绍如何通过 Rancher 的监控功能实现 NeuVector 安全事件的监控和告警。
博客
Rancher Prime 2.7:向企业级容器管理平台深度进化
02-08 582
Rancher Prime 2.7 正式发布。 Rancher Prime 是 Rancher 的一种分发版,核心功能代码均来自 Rancher 社区版,但更加重视安全方面的建设,并面向企业用户强化了相关功能和服务。
博客
Containerd 的 Bug 导致容器被重建!如何避免?
02-07 582
最近我们关注到一个关于 containerd 运行时的 issue(https://github.com/containerd/containerd/issues/7843),该问题在 containerd v1.6.9/v1.5.15 被引入。出现的问题是,当 containerd 重启后,在其中运行的 Pod 元数据中关于网络相关的数据(如 pod ip)丢失,核心原因在于部分数据没有落盘。本文将详细介绍如果快速重现该问题,并验证该问题的修复情况。
博客
Rancher 2022 关键主题与新年展望
01-16 864
以 Rancher 为核心的 SUSE 企业容器业务,在 2022 年经历了快速发展的一年。我们在全球的客户数量进一步增长,并继续保持高水平的续约率,Rancher 仍然是业界最广泛采用的容器管理平台。让我们快速回顾 2022 年的关键主题,同时了解一些 2023 年的产品计划。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值