По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Представьте себе, что рядом с вами в организации есть сетевая розетка и все, что туда подключается, автоматически получает туда доступ. Любые устройства - даже если они являются "шпионскими" или не авторизованными.
Вы конечно скажете - но есть же простой, как тапок, протокол под названием Port Security!
Верно, но как он работает? Вы либо указываете MAC-адрес, который может подключиться к порту и получить доступ в сеть, либо указываете какое-то количество таких MAC адресов, которые будут динамически опознаны коммутатором или смешиваете два этих способа.
Но что если вы находитесь в публичной зоне, например там, куда вы приглашаете клиентов, или, к примеру вы находитесь на некой веранде, откуда зачастую можно работать. Там внедрён Port Security, все нормально.
Но вдруг ваш ноутбук кто-то умудрился ловко спереть и что тогда? У кого-то постороннего появится доступ в вашу сеть, так как доступ по его MAC-адресу разрешен. Тут-то и вступает в дело 802.1X - он позволяет проводить аутентификацию не устройства, но пользователя. Таким образом, если устройство будет украдено, злоумышленники все равно не получат доступ в сеть.
Логичным вопросом будет "Как же я обеспечу гостей доступом в сеть без предоставления им полного доступа"? Ответ - легко, и вариантов десятки: гостевая учетка и гостевой VLAN, специальный портал саморегистрации для гостей и так далее и тому подобное.
Также некоторые скажут - ну конечно, у меня в компании доступ к беспроводной сети так и организован, через синхронизацию с AD и по учетным записям пользователей. Но как это работает в случае проводного доступа? Сразу отвечу, что 802.1X используется как в беспроводной сети, так и в проводной. Подробнее о принципе действия, его компонентах я расскажу ниже.
Из чего состоит 802.1X
У 802.1X есть три основных компонента - суппликант, аутентификатор и сервер аутентификации. Суппликант - это ваше оконечное устройство и пользователь с определенным ПО (здесь нет смысла углубляться в различные виды суппликантов).
Аутентификатор - это коммутатор или точка доступа (первое сетевое устройство уровня доступа, на который пришел трафик с суппликанта.
И, наконец, сервером аутентификации является специальное ПО или устройство, принадлежащее к классу NAC - Network Access Control, или средствам контроля сетевого доступа. Конкретный класс решений для реализации 802.1X называется RADIUS-сервером.
Итак, порядок подключения следующий: вы пытаетесь получить доступ в сеть и аутентификатор говорит - предъявите, пожалуйста документы. Ваше устройство (суппликант) предоставляет нужную информацию - логин и пароль, сертификат, обе этих сущности вместе и прочие. Далее аутентификатор отправляет полученную информацию на сервер аутентификации и ждёт ответа. Далее, в базовом варианте, сервер аутентификации отправит обратно на аутентификатор разрешение и после этого аутентификатор разрешение суппликанту. До этого момента почти никакой трафик разрешен не будет!
Важно понимать, что в сторону аутентификатора уходит фрейм с определенным регистром (для этого и нужен суппликант), а аутентификатор энкапсулирует отправляет полученную информацию от суппликанта в сторону сервера аутентификации как IP – пакет (чтобы его можно было маршрутизировать).
Протоколы в технологии 802.1X
Давайте теперь подробнее поговорим о протоколах в этой технологии – так как 802.1X являет собой неикий собирательный термин. Основных протоколов 2 – EAPoL (Extensible Authentication Protocol over LAN) и RADIUS (Remote Authentication Dial-In User Service).
Есть очень простые и не очень безопасные формы EAP и очень надежные, но крайне сложные в настройке. В простейшем виде будет необходим только логин и пароль. В более сложных – сертификат, токен и прочее. Есть правило – чем проще настроить EAP – тем он менее взломостойкий и наоборот :)
В наше время одним из популярных и очень умных RADIUS – серверов является Cisco ISE. Он позволяет авторизовывать пользователей в зависимости от их контекста: Что за устройство? Кто? Где? Когда? Было ли устройство скомпрометировано ранее? и автоматически профилировать каждое подключенное устройство для того, чтобы понимать какие устройства есть у вас в сети и в каком состоянии они находятся – многие даже не подозревают о том, как много у них в организации подключено неизвестных устройств (при количестве пользователей более 1000).
Ниже на диаграмме можно увидеть весь процесс установления соединения при использовании 802.1X:
Возможность эксплуатации уязвимости OpenSLP может быть устранена при помощи решения CVE-2019-5544, если следовать шагам, описанным в разделе решения в данной статье.
Предупреждение: Данное обходное решение применимо только для ESXi. Не используйте это временное решение c другими программами VMware.
Техническое влияние: С данным решением клиенты CIM, которые применяют SLP протокол для поиска сервисов через порт 427, не смогут подключиться к программе.
Решение
Для реализации данного решения для CVE-2019-5544 соблюдайте следующие шаги:
Остановите протокол обнаружения сервисов на ESXi хосте с помощью данной команды:
/etc/init.d/slpd stop
Протокол обнаружения сервисов может быть остановлен только когда сервис не используется. Используйте следующие команды для просмотра рабочего состояния протокола обнаружения сервиса Deamon:
esxcli system slp stats get
Для отключения сервиса SLP выполните следующую команду:
esxcli network firewall ruleset set -r CIMSLP -e 0
Чтобы внести это изменение, сохранитесь перед перезагрузкой:
chkconfig slpd off
Проверьте, чтобы сохранилось:
chkconfig --list | grep slpd
output: slpd off
Для того, чтобы удалить обходное решение CVE-2019-5544, выполните следующие шаги:
Чтобы включить набор правил сервиса SLP, выполните следующую команду:
esxcli network firewall ruleset set -r CIMSLP -e 1
Для изменения текущей информации о запуске сервиса slpd выполните следующую команду:
chkconfig slpd on
Введите следующую команду, чтобы проверить изменения после предыдущего шага:
chkconfig --list | grep slpd
output: slpd on
Введите следующую команду для того ,чтобы включить SLP:
/etc/init.d/slpd start
Деактивируйте и разблокируйте агента CIM
Современные предприятия во многом доверяют технологии контейнеризации, чтобы упростить развертывания сложных приложений и управление ими.
Контейнеры собирают необходимые зависимости внутри одного пакета. Таким образом, вам не нужно беспокоится о том, что возникнут какие-либо конфликты зависимостей в эксплуатационной среде.
Контейнеры можно переносить и масштабировать, но для последнего маневра вам понадобится инструмент управления контейнерами.
На сегодняшний день Docker Swarm и Kubernetes – самые популярные платформы для оркестрации контейнеров. Они оба имеют свое конкретное назначение и определенные преимущества и недостатки.
В данной статье мы рассмотрим оба из них, чтобы помочь в выборе инструмента управления контейнерами с учетом ваших требований.
Что такое Docker Swarm?
Docker Swarm – это платформа оркестрации контейнеров с открытым исходным кодом, встроенная в Docker. Он поддерживает оркестрацию кластеров механизмов Docker.
Docker Swarm преобразует несколько экземпляров Docker в один виртуальный хост. Кластер Docker Swarm обычно состоит из трех элементов:
Node - нода
Service и Task – службы и задачи
Load balancer - балансировщик нагрузки
Ноды – это экземпляры механизма Docker, контролирующие ваш кластер, а также контейнеры, используемые для запуска ваших служб и задач.
Балансировка нагрузки также является частью кластеров Docker Swarm и используется для маршрутизации запросов между нодами.
Преимущества Docker Swarm
Docker Swarm довольно прост в установке, поэтому он хорошо подходит для тех, кто только начинает осваивать мир оркестрации контейнеров.
Он легковесный.
В контейнерах Docker Swarm обеспечивает автоматическую балансировку нагрузки.
Поскольку Docker Swarm встроен в Docker, то он работает с интерфейсом командной строки Docker. Помимо этого, он без проблем работает с существующими инструментами Docker, такими как Docker Compose.
Docker Swarm обеспечивает рациональный выбор нод, что позволяет выбрать оптимальные ноды в кластере для развертывания контейнера.
Имеет собственный Swarm API.
Недостатки Docker Swarm
Не смотря на множество преимуществ, Docker Swarm имеет также несколько недостатков.
Docker Swarm сильно привязан к Docker API, что ограничивает его функциональность в сравнении с Kubernetes.
Возможности настройки и расширения в Docker Swarm ограничены.
Что такое Kubernetes?
Kubernetes – это портативный облачный инфраструктурный инструмент с открытым кодом, изначально разработанный Google для управления своими кластерами. Поскольку он является инструментом оркестрации контейнеров, то он автоматизирует масштабирование, развертывание и управление контейнерными приложениями.
Kubernetes имеет более сложную структуру кластера, чем Docker Swarm.
Kubernetes – это многофункциональная платформа, главным образом потому, что она с выгодой для себя использует активную деятельность мирового сообщества.
Преимущества Kubernetes
Он способен поддерживать большую рабочую нагрузку и управлять ей.
У него большое сообщество разработчиков открытого ПО, поддерживаемого Google.
Поскольку он имеет открытый исходный код, то он предлагает широкую поддержку сообщества и возможность работы с разнообразными сложными сценариями развертывания.
Его предлагают все основные поставщики облачных услуг: Google Cloud Platform, Microsoft Azure, IBM Cloud и AWS.
Он автоматизирован и поддерживает автоматическое масштабирование.
Он многофункционален, имеет встроенный мониторинг и широкий спектр доступных интеграций.
Недостатки Kubernetes
Несмотря на то, что Kubernetes обладает большим набором функций, он также имеет и несколько недостатков:
Процесс обучения Kubernetes достаточно сложный, и для освоения Kubernetes требуются специальные знания.
Процесс установки достаточно сложен, особенно для новичков.
Поскольку сообщество разработчиков открытого ПО работает достаточно продуктивно, Kubernetes требует регулярной установки обновлений для поддержания последней версии технологии без прерывания рабочей нагрузки.
Для простых приложений, которые не требуют постоянного развертывания, Kubernetes слишком сложный.
Kubernetes VS Docker Swarm
Теперь, когда мы узнали все преимущества и недостатки Kubernetes и Docker Swarm, давайте посмотрим, чем же они отличаются друг от друга.
Основное различие этих двух платформ заключается в их сложности. Kubernetes хорошо подходит для сложных приложений, а Docker Swarm разработан для простоты использования, что говорит о том, что его предпочтительнее использовать с простыми приложениями.
Далее приведем подробное описание нескольких различий между Docker Swarm и Kubernetes:
Установка и настройка
Kubernetes можно настроить, но сделать это будет не так просто. Docker Swarm установить и настроить намного легче.
Kubernetes: в зависимости от операционной системы ручная установка может отличаться. Если вы пользуетесь услугами поставщика облачных технологий, то установка не требуется.
Docker Swarm: экземпляры Docker обычно одинаковы для различных операционных систем и поэтому довольно просты в настройке.
Балансировка нагрузки
Docker Swarm предлагает автоматическую балансировку нагрузки, а Kubernetes – нет. Однако в Kubernetes легко интегрировать балансировку нагрузки с помощью сторонних инструментов.
Kubernetes: службы можно обнаружить через одно DNS-имя. Kubernetes обращается к контейнерным приложениям через IP-адрес или HTTP-маршрут.
Docker Swarm: поставляется со встроенными балансировщиками нагрузки.
Мониторинг
Kubernetes: имеет встроенный мониторинг, а также поддержку интеграции со сторонними инструментами мониторинга.
Docker Swarm: нет встроенных механизмов мониторинга. Однако он поддерживает мониторинг через сторонние приложения.
Масштабируемость
Kubernetes: обеспечивает масштабирование в зависимости от трафика. Встроено горизонтальное автомасштабирование. Масштабирование Kubernetes включает в себя создание новых модулей и их планирование для узлов с имеющимися ресурсами.
Docker Swarm: обеспечивает быстрое автоматическое масштабирование экземпляров по запросу. Поскольку Docker Swarm быстрее развертывает контейнеры, то это дает инструменту оркестрации больше времени на реакцию, что позволяет масштабировать по требованию.
Какую платформу все же выбрать?
И Kubernetes, и Docker Swarm служат для конкретного назначения. Какой из них лучше, зависит от ваших текущих потребностей или потребностей вашей организации.
При запуске Docker Swarm – это простое в использовании решение для управления вашими контейнерами. Если вам или вашей компании не нужно управлять сложными рабочими нагрузками, то Docker Swarm – правильный выбор.
Если же ваши приложения имеют более ключевую роль, и вы хотите включить функции мониторинга, безопасности, высокой доступности и гибкости, то Kubernetes – вот ваш выбор.
Подведем итог
Благодаря этой статье мы узнали, что такое Docker Swarm и Kubernetes. Также мы узнали об их плюсах и минусах. Выбор между этими двумя технологиями достаточно субъективен и зависит от желаемых результатов.