По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Сегодня речь в статье пойдет о Docker. Все, кто хоть как-то касаются сферы IT слышали про Docker, но не все знают, что же это такое. Итак, сегодня мы простыми словами расскажем о том, что такое Docker, чем это отличается от виртуализации, покажем подробный процесс инсталляции на CentOS 7 и установим просто графический интерфейс Portainer, для управления контейнерами. Также немного коснемся команд для использования Docker.
Что такое Docker?
Docker - это платформа, которая может “упаковать” приложение, его зависимости, middleware и так далее в так называемый “контейнер”, после чего у вас появится возможность развернуть данный контейнер на любом сервере, на котором установлен Docker - причем буквально за доли секунды, одной командой.
Благодаря этим решается сразу несколько задач - в первую очередь, процесс запуска приложения на сервере многократно упрощается, во вторую - какие-либо баги в контейнеризированном приложении никак не повлияют на сам сервер, также как и специфические настройки сервера не повлияют на приложение.
И хоть кажется, что Docker выглядит и работает как виртуальная машина, на самом деле они очень разные: виртуальная машина эмулирует сервер целиком, включая все аппаратные ресурсы, а контейнер изолирует приложение, процессы, юзеров и файловую систему. При этом все контейнеры используют общее Linux ядро хоста и запускается в нативном режиме только на Linux машинах, но зато на одной машине можно запустить примерно в 5-6 раз больше контейнеров, чем виртуальных машинах. Ниже на схеме показаны различия:
Установка Docker
Как было упомянуто в начале статьи, устанавливать Докер мы будем на CentOS 7 - процесс установки крайне простой и быстрый.
Итак, сначала необходимо установить с помощью yum несколько пакетов:
yum install -y yum-utils
device-mapper-persistent-data
Lvm2
Далее необходимо установить stable репозиторий для Докера, который вам понадобится, даже если вы захотите устанавливать билды из edge и test репозиториев:
yum-config-manager
--add-repo
https://download.docker.com/linux/centos/docker-ce.repo
Затем устанавливаем сам Docker:
yum install docker-ce
И, наконец, запускаем Docker:
systemctl start docker
Проверяем, что Docker запустился и работает в два шага:
systemctl status docker
Вы должны увидеть следующий вывод:
После этого пробуем развернуть контейнер hello-world:
docker run hello-world
Если все шаги были выполнены корректно, то на экране должно появится следующее:
Установка Portainer
Portainer - это очень удобный графический интерфейс для управления Docker или Docker Swarm. Устанавливается он практически в одно действие - так как сам точно также является контейнером. Итак:
Создаем разметку для Portainer:
docker volume create portainer_data
И затем запускаем сам контейнер:
docker run -d -p 9000:9000 -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer
После чего заходите на сетевой адрес вашего сервера на порт 9000, и вы должны увидеть окно с предложением установить пароль администратора:
Далее выбираем где находится наш Докер - на этом же сервере, или на другом (в нашем случае - Local) и кликаем Connect.
После чего вас встретит красивый дэшборд:
Я предлагаю вам попробовать разобраться со всем многообразием дэшборда самим и задавать нам вопросы в комментариях - а мы пока продемонстрируем несколько фич.
Итак, сначала кликните на Containers - вы увидите все имеющиеся контейнеры с информацией о них:
Как вы можете видеть, у нас на данный момент запущен только один контейнер - Portainer, и доступ к нему открыт по порту 9000 (столбец Published Ports), и адрес во внутренней сети Docker - 172.17.0.2.
Далее кликните на App Templates в меню справа - и вы увидите весь список приложений, который можно запустить одним кликом:
Зайдем во вкладку Httpd:
Сперва, назовите данный контейнер как-нибудь - мы назвали test-merionet. Затем, можете кликнуть на Show advanced options и вы увидите возможность выбора какой порт, протокол и том будет использоваться данным контейнером. Затем просто нажмите на Deploy the container.
Пройдет буквально несколько секунд и вас должно перекинуть обратно на вкладку Containers, но, с уже вторым запущенным контейнером:
Отсюда вы увидите, что httpd сервер доступен на 32768 порту. Итак, пробуем зайти на данный сервер через браузер:
Вы должны будете увидеть надпись It works! так же как на скриншоте выше - дальнейшую настройку httpd мы пока оставляем за кадром.
Донастройка Docker и полезные команды
Итак, вы уже познакомились с Docker и получили представление о его возможностях. Ниже в тексте мы опишем действия, которые также необходимо сделать после установки и некоторые команды, без которых буквально трудно жить, если активно используешь Докер.
Первым делом, настройте автозапуск для сервиса Docker:
systemctl enable docker
Затем, вы можете проверить запущенные контейнеры в консоли (на случай если вам не нравится идея использования GUI) с помощью команды
docker ps
Теперь немного о командах и синтаксисе - будем показывать на примерах:
Допустим, нам нужно запустить CentOS и выполнить в нем команду echo:
docker run centos echo “Hello from Merion Networks”
Запустить CentOS и подключиться к его терминалу:
docker run -t-i centos /bin/bash
Можете сразу указать нужные порты с помощью ключа -p и запустить контейнер в бэкграунде с помощью ключа --d:
docker run -p 80:80 --d nodejs-app
Итак, совсем немного об опциях для команды docker run - полный список можно найти по ссылке https://docs.docker.com/engine/reference/commandline/run/#description
-p - открываем конкретные порты через пробел - порт доступа и порт на контейнере, к примеру docker run -p 9876:80 %imagename%
-P - открываем сразу все порты;
-t - подключение к терминалу контейнера;
-i - интерактивный режим, STDIN все время будет открыт;
Обязательно посетите Docker Hub, так как там можно найти кучу интересных контейнеров с примерами их установки и доступом к Docker-файлу, это что-то вроде GitHub только для контейнеров.
Заключение
На этом всё, спасибо за внимание! Пишите в комментариях, что еще вам интересно узнать про Докер - в следующих статьях мы покроем такие темы как: создание своего собственного Докер-файла и образа, как подключить папку файловой системы с вашего хоста, интересное на Docker Hub и так далее.
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам.
Если маршрутизатор не работает или слишком нагружен, пакеты проходят по другому маршруту. BGP по умолчанию принимает объявленные маршруты от других соседей BGP. Нет объявления о пути или владельце, что оставляет серьезную проблему безопасности.
В этой статье описывается протокол RPKI, как решение для безопасной маршрутизации BGP.
Что такое BGP?
Протокол BGP – основной протокол, который используется для обмена маршрутами в Интернете. Пакеты передаются по всему миру децентрализованным образом с автоматизированной маршрутизацией. По мере передачи данных с одного маршрутизатора на другой информация перемещается ближе к пункту назначения.
Каждый маршрутизатор поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. AS (Autonomous System - автономная система) владеет группами префиксов и определяет, как происходит обмен маршрутизацией. Каждая AS имеет уникальный идентификатор (Number), и протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах.
Каждый ASN (Autonomous System Number) объявляет префиксы, по которым он может доставлять данные. Например, AS отвечающая за подсеть 1.0.0.0/8, будет передавать этот префикс соседям и другим провайдерам.
Недостатки BGP
Прием маршрута BGP зависит от проектирования ISP. Сложно принять во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. В конечном счете, суть проблемы заключается в том, что нет никакого видения того, кто должен объявлять маршрут или кто настоящий владелец.
Угоны префиксов равной длины
Угон префикса равной длины происходит, когда тот, кто не является владельцем, объявляет об этом же префиксе. Например:
Исходная AS отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS также объявляет 1.0.0.0/8
В случае объявления равной длины BGP должен выбрать маршрут. Решение сводится к конфигурации AS.
Источник AS замечает небольшое падение трафика. Падение трафика является обычным явлением, которое может произойти по любому числу причин. За счет этого угон BGP остается незамеченным.
Угон определенного префикса
Захват определенного префикса происходит, когда злонамеренный ASN объявляет более конкретный префикс. Оба префикса добавляются в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети.
Например:
Источник отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS объявляет более конкретный 1.2.3.0/24
Поскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть.
Что такое RPKI?
RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. В BGP понятия владельца не существует. Любому разрешается анонсировать лучший маршрут, будь то злонамеренно или случайно.
RPKI основан на существующем стандарте PKI - RFC6480. Существует много ссылок на существующие методологии криптографии для безопасной связи.
Почему RPKI важен?
Инфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. Из-за особенностей работы BGP, уязвимость интернета является систематической проблемой. С ростом Интернета последствия заметнее.
Маршрутизация информации в небольшую сеть создает перегрузку. Вредоносная маршрутизация доставляет конфиденциальную информацию не туда. Ошибки BGP могут привести к мошенничеству и крупномасштабным сбоям. Известны следующие случаи:
Amazon - маршрут 53 BGP угнал DNS Amazon для кражи криптовалют.
Google - неправильная настройка фильтрации BGP во время обновления маршрутизировал весь трафик в Китай, Россию и Нигерию.
Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг.
YouTube - Попытка заблокировать сайт YouTube в Пакистане в итоге положила его.
Какую форму защиты предлагает RPKI?
Проблемы BGP возникают по многочисленным причинам:
Нет надежного плана обеспечения безопасности
Ошибки перераспределения
Опечатки
Преступное намерение
Наиболее распространенным фактором является человеческая ошибка.
Криптографическая модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации. Сертификаты добавляют уровень сетевой безопасности к префиксам IPv4 и IPv6. Сертификаты RPKI продлеваются каждый год. HTTP использует аналогичное шифрование для защиты веб-страниц.
Хотя весь путь не защищен, RPKI проверяет идентичность источника и предоставляет способ подтвердить, что они являются теми, кем они являются. RPKI является шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение входящей информации и кто владеет каким пространством.
Широкое распространение делает его еще более эффективным в предотвращении угонов в целом.
Как работает RPKI?
RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) является частью ICANN (Internet Corporation for Assigned Names and Numbers), которая владеет адресными пространствами IPv4 и IPv6.
IANA распределяет порции IP пространства для RIR. Локальные RIR затем распределяют пространство IP для сетей, которые далее распределяют для сетей меньшего размера. Этот путь создает доверенную цепочку в сертификатах подписи. Регионы RIR делятся на пять географических районов:
ROA
Заключительной частью цепочки является ROA (Route Origin Authorization - авторизация источника маршрута). ROA представляет собой простой документ с двумя частями информации:
Какой маршрут и максимальная длина.
AS, объявившая маршрут.
Например, если AS65005 объявляет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, проверяя, кто является реальным владельцем информации с полным доверием.
Каждая ROA специфична для каждого из существующих RIR.
Как развертывается RPKI?
"P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Эта информация используется для формирования списков префиксов, которые относятся к конкретному ASN.
Подписи сертификатов и срок действия ROA проверяются каждой сетью независимо. Если какой-либо из следующих ошибок завершается неуспешно, ROA игнорируется:
Дата начала или дата окончания ROA и привязки сертификатов к корню находятся в прошлом или будущем.
Любая из подписей недействительна или отозвана.
Все ROA, которые прошли тест сохраняются в списке проверенных. Фильтр генерируется и выгружается на маршрутизаторы на основе проверенного списка кэша. Маршрутизаторы проверяют объявления BGP через фильтр и получает один из трех результатов:
Действительное - ROA присутствует. Длина префикса и номер AS совпадают.
Недопустимое - присутствует ROA. Длина префикса или номер AS не совпадают.
Не найдено или неизвестно - ROA отсутствует.
Маршрутизатор действует на основе состояния префикса, сгенерированного фильтром.
Подпись префиксов
RIR предлагают онлайн-инструменты для подписи префиксов. При этом префикс и длина префикса связываются с AS. После подписания префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы.
Подписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). Подписанные сертификаты являются ядром ROA. RPKI не предлагает проверки пути, и атаки «человек в середине» по-прежнему возможны.
Проверка префиксов
Реализация проверки зависит от сведений о сети. Общие шаги при настройке сети для проверки префиксов:
Установка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации Интернет (IRR) и проверяет подписи.
Настройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполняют кэш проверки комбинациями проверенных префиксов, длин префиксов и исходных ASN.
Реализация фильтров BGP для внешних сеансов BGP - добавление политики для всех сеансов BGP (одноранговых, транзитных и клиентов) для отклонения любого префикса, который является недопустимым с точки зрения RPKI.
Заключение
RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Большинство маршрутизаторов имеют встроенные возможности проверки и развертывания RPKI.
Друг! Приходилось ли тебе сталкиваться с задачами, связанными с настройкой захвата (копирования/зеркалирования) сетевого трафика на сетевом маршрутизаторе? И это не классическая SPAN/RSPAN или даже ERSPAN сессия. Начиная с версий 12.3 Cisco анонсировала фичу под названием IP Traffic Exporter.
Настройка IP Traffic Exporter
Давайте представим, что у нас есть IP – телефон с адресом 192.168.2.13 и его трафик мы хотим зеркалировать. Условно говоря, процесс настройки мы можем разбить на следующие конфигурационные шаги:
Создаем ACL (access control list) для сопоставления трафика, который нас интересует;
Создаем профиль для экспортера;
Добавляем интерфейс в профиль;
Конфигурируем направления для ACL;
Назначаем IP Traffic Exporter на интерфейс;
Начнем? Создаем ACL:
access-list 100 permit 192.168.2.13
Далее, мы создадим профиль экспорта и назовем его EXP_PHONE. Настройку его сделаем в режиме захвата (capture). Внутри настройки профиля, мы укажем длину пакетов в 512 и повесим свежесозданный ACL 100:
ip traffic-export profile EXP_PHONE capture
outgoing access-list 100
length 512
Как и в других системах, в IOS необходимо применить вашу конфигурацию. Мы прыгаем в режим настройки интерфейса и включаем захват трафика. Сделать это можно следующим образом:
interface FastEthernet1
ip traffic-export apply EXP_PHONE size 1024
В команде size мы задаем размер буфера для пакетов.
Теперь, нам нужно включить экспортер трафика :) Чтобы сделать это, укажем следующие команды:
interface FastEthernet1
merion# traffic-export interface fa1 start //данная команда начинает захват трафика
merion# traffic-export interface fa1 stop //данная команда останавливает захват трафика
merion# traffic-export interface fa1 copy flash:
Capture buffer filename []? merion_dump
Capture buffer copy operation to flash may take a while. Continue? [confirm]
Copying capture buffer to flash:merion_dump
806 bytes copied.
merion#
Жара. Мы сделали копирование на flash память маршрутизатора. Помимо прочего ,вы можете указать следующие опции, кроме flash: archive, ftp, http, https, null, nvram, pram, rcp, scp, syslog, system, tftp, tmpsys, xmodem, ymodem.
Проверить дамп очень просто – вы можете воспользоваться любой утилитой анализа сетевого трафика, например, Wireshark.