Posted in Kompiuterija

Consul Connect: service mesh su mTLS

on
novatech.lt

Kas iš tiesų yra Consul Connect ir kodėl jis svarbus

Mikroservisų architektūra tapo norma daugelyje šiuolaikinių IT projektų, bet kartu su ja atsirado ir naujų iššūkių. Vienas didžiausių – kaip užtikrinti saugų komunikaciją tarp dešimčių ar net šimtų skirtingų servisų? Čia į sceną įžengė service mesh koncepcija, o Consul Connect yra vienas iš įdomesnių šios problemos sprendimų.

Consul Connect – tai HashiCorp sukurtas service mesh sprendimas, kuris automatiškai užtikrina saugią komunikaciją tarp jūsų mikroservisų naudodamas mutual TLS (mTLS) šifravimą. Skirtingai nuo tradicinių saugumo sprendimų, kur reikia rankiniu būdu konfigūruoti kiekvieną servisą, Consul Connect veikia kaip tarpikas – jis automatiškai tvarko sertifikatus, šifravimą ir autorizaciją.

Pagrindinis dalykas, kurį reikia suprasti – tai ne tiesiog dar vienas įrankis jūsų DevOps arsenale. Tai fundamentalus požiūrio pokytis į tai, kaip servisai tarpusavyje bendrauja. Vietoj to, kad pasitikėtumėte tinklo perimetru ir firewall taisyklėmis, Consul Connect įgyvendina „zero trust” principą – kiekvienas servisas turi įrodyti savo tapatybę prieš gaudamas prieigą prie kito serviso.

mTLS technologija: dvipusis pasitikėjimas praktikoje

Mutual TLS skiriasi nuo įprasto TLS (tokio, kokį naudojate naršydami HTTPS svetaines) tuo, kad čia autentifikacija vyksta abiem kryptimis. Įprastai TLS atveju tik serveris įrodo savo tapatybę klientui. mTLS atveju ir klientas turi pateikti savo sertifikatą serveriui.

Įsivaizduokite situaciją: turite payment servisą, kuris turi priimti užklausas tik iš order servisą. Su tradiciniu TLS galite užtikrinti, kad duomenys perduodami šifruotai, bet kaip žinote, kad užklausa tikrai ateina iš order serviso, o ne iš kažkokio piktavališko agento? Su mTLS abu servisai keičiasi sertifikatais ir patvirtina vienas kito tapatybę.

Consul Connect šį procesą daro beveik nematomą. Kai registruojate servisą Consul’e, jis automatiškai:

  • Sugeneruoja unikalų sertifikatą tam servisui
  • Konfigūruoja sidecar proxy, kuris tvarko visą mTLS komunikaciją
  • Automatiškai rotacina sertifikatus (pagal nutylėjimą kas 72 valandas)
  • Tikrina, ar servisas turi teisę bendrauti su kitu servisu pagal intentions taisykles

Tai reiškia, kad jūsų aplikacijos kodas gali likti paprastas – jis tiesiog kreipiasi į localhost portą, o visa mTLS magija vyksta proxy lygyje.

Kaip tai veikia po gaubtu: architektūros pagrindai

Consul Connect architektūra remiasi keliais pagrindiniais komponentais. Pirmiausia, yra pats Consul serveris (arba serverių klasteris), kuris veikia kaip centralizuota kontrolės plokštuma. Jis saugo informaciją apie visus registruotus servisus, jų sertifikatus ir prieigos taisykles.

Kiekviename node’e, kur veikia jūsų servisai, yra Consul agentas. Šis agentas bendrauja su Consul serveriu ir tvarko vietinę konfigūraciją. Bet pats įdomiausias dalykas – tai sidecar proxy.

Sidecar proxy yra nedidelis procesas, kuris veikia šalia jūsų pagrindinio serviso. Pagal nutylėjimą Consul naudoja Envoy proxy, nors galite naudoti ir kitus. Šis proxy:


[Jūsų servisas] <-> [Sidecar Proxy] <--mTLS--> [Kitas Sidecar Proxy] <-> [Kitas servisas]

Jūsų servisas kreipiasi į savo vietinį sidecar per paprastą HTTP (localhost:port), o sidecar jau tvarko visą mTLS komunikaciją su kito serviso sidecar’u. Tai vadinama „transparent proxy” režimu – jūsų aplikacija net nežino, kad vyksta šifravimas.

Praktiškai tai atrodo taip: jei jūsų web servisas nori kreiptis į API servisą, jis tiesiog siunčia užklausą į http://localhost:21000 (arba bet kokį kitą lokalų portą), o Consul Connect proxy automatiškai:

  • Nukreipia užklausą į teisingą API serviso instanciją (load balancing)
  • Užmezga mTLS ryšį naudodamas teisingus sertifikatus
  • Patikrina, ar web servisas turi teisę kreiptis į API servisą
  • Perduoda užklausą ir grąžina atsakymą

Intentions: kas gali su kuo kalbėti

Vienas iš galingiausių Consul Connect aspektų yra intentions sistema. Tai iš esmės yra service-to-service firewall taisyklės, tik daug paprastesnės ir intuityvesnės.

Intentions leidžia jums deklaratyviai apibrėžti, kurie servisai gali bendrauti tarpusavyje. Pavyzdžiui, galite sukurti intention, kuri sako: „web servisas gali kreiptis į api servisą”. Visi kiti bandymai kreiptis į api servisą bus automatiškai atmesti.

Sukurti intention galite per Consul UI, CLI arba API. CLI komanda atrodo taip:

consul intention create web api

Tai leidžia web servisui kreiptis į api. Jei norite uždrausti:

consul intention create -deny suspicious-service api

Kas įdomu – intentions veikia realiu laiku. Jei pakeičiate intention, pakeitimas įsigalioja per kelias sekundes visame klasteryje. Nereikia perkrauti servisų ar proxy.

Galite taip pat kurti sudėtingesnes taisykles su L7 (application layer) kriterijais. Pavyzdžiui, leisti web servisui kreiptis į api servisą, bet tik į GET užklausas tam tikru path’u:

{
  "SourceName": "web",
  "DestinationName": "api",
  "Action": "allow",
  "Permissions": [
    {
      "Action": "allow",
      "HTTP": {
        "PathPrefix": "/public",
        "Methods": ["GET"]
      }
    }
  ]
}

Tai suteikia labai smulkų kontrolės lygį be poreikimo keisti aplikacijos kodą.

Praktinis įdiegimas: nuo nulio iki veikiančio mesh’o

Pradėkime nuo paprasčiausio scenarijaus – du servisai, kurie turi saugiai bendrauti. Pirmas žingsnis – įdiegti Consul. Galite naudoti oficialų Docker image arba įdiegti tiesiogiai į jūsų sistemą.

Paprasčiausias būdas išbandyti – naudoti Consul development režimą:

consul agent -dev

Tai paleis Consul serverį ir agentą vienoje mašinoje. Production aplinkoje turėtumėte turėti bent tris Consul serverius high availability tikslais, bet testavimui dev režimas puikiai tinka.

Dabar užregistruokime pirmą servisą. Sukurkite failą `web-service.hcl`:

service {
  name = "web"
  port = 8080
  
  connect {
    sidecar_service {}
  }
}

Užregistruokite servisą:

consul services register web-service.hcl

Dabar paleiskite savo web aplikaciją (tarkime, ji klauso 8080 porto) ir paleiskite sidecar proxy:

consul connect proxy -sidecar-for web

Analogiškai užregistruokite ir paleiskite API servisą. Dabar turite du servisus su veikiančiais sidecar proxy. Bet jie dar negali bendrauti – reikia sukurti intention:

consul intention create web api

Jūsų web servisas dabar gali kreiptis į API servisą per savo sidecar proxy. Jei web servisas veikia localhost:8080, o jo sidecar proxy klauso 21000 porto, tai API servisas bus pasiekiamas per localhost:21001 (arba kokį portą nurodėte upstream konfigūracijoje).

Kad tai veiktų, web serviso konfigūracijoje reikia nurodyti upstream:

service {
  name = "web"
  port = 8080
  
  connect {
    sidecar_service {
      proxy {
        upstreams = [
          {
            destination_name = "api"
            local_bind_port = 9191
          }
        ]
      }
    }
  }
}

Dabar jūsų web aplikacija gali kreiptis į http://localhost:9191, ir užklausa automatiškai nukeliaus per mTLS į api servisą.

Integracijos su Kubernetes ir kitomis platformomis

Nors aukščiau aprašytas pavyzdys veikia tradicinėse VM ar bare metal aplinkose, daugelis šiandien naudoja Kubernetes. Gera žinia – Consul Connect puikiai integruojasi su K8s.

HashiCorp pateikia oficialų Helm chart, kuris įdiegia Consul į jūsų Kubernetes klasterį. Įdiegimas paprastas:

helm repo add hashicorp https://helm.releases.hashicorp.com
helm install consul hashicorp/consul --set global.name=consul --create-namespace --namespace consul

Kai Consul įdiegtas, galite automatiškai inject’inti sidecar proxy į jūsų pod’us naudodami annotation:

apiVersion: v1
kind: Pod
metadata:
  name: web
  annotations:
    "consul.hashicorp.com/connect-inject": "true"
spec:
  containers:
  - name: web
    image: your-web-app:latest
    ports:
    - containerPort: 8080

Consul automatiškai pridės Envoy sidecar konteinerį į šį pod’ą ir sukonfigūruos mTLS. Jums nereikia nieko daugiau daryti.

Upstream’ai taip pat konfigūruojami per annotations:

annotations:
  "consul.hashicorp.com/connect-inject": "true"
  "consul.hashicorp.com/connect-service-upstreams": "api:9191"

Kubernetes aplinkoje Consul taip pat integruojasi su native K8s service discovery mechanizmu. Galite naudoti Kubernetes services kaip Consul servisus ir atvirkščiai.

Dar viena įdomi integracija – su service mesh interface (SMI) standartu. Nors Consul turi savo intentions sistemą, jis taip pat palaiko SMI TrafficTarget resources, kas leidžia naudoti standartizuotą API skirtingiems service mesh sprendimams.

Performance ir troubleshooting: ką reikia žinoti

Pridėjus papildomą proxy sluoksnį, natūralu klausti – koks bus performance impact? Atsakymas: priklauso, bet dažniausiai jis yra priimtinas.

Envoy proxy yra labai optimizuotas ir paprastai prideda tik 1-3ms latency kiekvienai užklausai. Tai yra overhead už mTLS šifravimą ir dešifravimą, bet šiuolaikinėse sistemose su AES-NI instrukcijomis šifravimas yra labai greitas.

Throughput atžvilgiu Envoy gali apdoroti dešimtis tūkstančių užklausų per sekundę vienoje instancijoje. Jei jums reikia daugiau, galite horizontaliai scale’inti savo servisus – kiekviena instancija turės savo sidecar.

Troubleshooting atveju, pirmiausia patikrinkite Consul logs. Jei sidecar proxy negali prisijungti prie kito serviso, dažniausiai problema yra viena iš šių:

  • Nėra intention, leidžiančios komunikaciją
  • Sertifikatai expired (nors tai turėtų būti automatiškai rotuojama)
  • Tinklo connectivity problemos tarp node’ų
  • Neteisingai sukonfigūruotas upstream

Consul UI turi puikų intentions vizualizavimo įrankį, kuris parodo service topology – kokie servisai su kuriais gali bendrauti. Tai labai padeda debugging’e.

Envoy proxy taip pat turi admin interface (pagal nutylėjimą localhost:19000), kur galite pamatyti visą konfigūraciją, aktyvius connection’us, statistiką ir kt. Tai neįkainojamas įrankis, kai kažkas neveikia.

Vienas patarimas – production aplinkoje visada naudokite structured logging ir metrics collection. Consul Connect integruojasi su Prometheus, StatsD ir kitais monitoring sprendimais. Galite track’inti:

  • Kiek užklausų tarp servisų vyksta
  • Kokia yra success rate
  • Koks yra latency distribution
  • Kiek connection’ų yra aktyvių

Tai leidžia greitai pastebėti problemas ir suprasti, kaip jūsų service mesh elgiasi realioje aplinkoje.

Saugumo aspektai ir best practices

Nors Consul Connect automatiškai suteikia daug saugumo, yra keletas dalykų, į kuriuos reikia atkreipti dėmesį.

Pirmiausia – CA (Certificate Authority) konfigūracija. Pagal nutylėjimą Consul naudoja built-in CA, bet production aplinkoje turėtumėte apsvarstyti integracijos su Vault arba kitu enterprise-grade CA sprendimu. Vault integracija suteikia papildomų galimybių, tokių kaip:

  • Centralizuotas secrets management
  • Audit logging visų sertifikatų operacijų
  • Galimybė naudoti HSM (Hardware Security Module) root sertifikatui
  • Sudėtingesnės rotation policies

Antra – intentions turėtų būti kuo griežtesnės. Pradėkite nuo „deny all” pozicijos ir leiskite tik tai, kas tikrai reikalinga. Geriau turėti 20 specifinių intentions nei vieną „allow all”.

Trečia – reguliariai audit’inkite savo service mesh konfigūraciją. Consul turi API, per kurį galite eksportuoti visas intentions ir kitas konfigūracijas. Galite sukurti automation, kuris patikrina, ar nėra per daug permissive taisyklių.

Ketvirta – naudokite ACL (Access Control Lists) Consul pačiam. Tai reiškia, kad ne kiekvienas servisas ar žmogus gali keisti intentions ar kitas konfigūracijas. Turėtumėte turėti skirtingus ACL token’us skirtingoms rolėms.

Penkta – monitoring ir alerting. Turėtumėte gauti alert’us, kai:

  • Didelis kiekis užklausų yra denyjinami dėl intentions
  • Sertifikatų rotacija nepavyksta
  • Consul serveriai praranda quorum
  • Kažkuris servisas staiga pradeda daryti neįprastai daug užklausų

Kada Consul Connect yra tinkamas pasirinkimas ir kada ne

Consul Connect nėra silver bullet, ir yra situacijų, kur jis yra puikus pasirinkimas, ir situacijų, kur galbūt turėtumėte apsvarstyti alternatyvas.

Consul Connect puikiai tinka, kai:

Turite heterogeninę aplinką – ne viskas Kubernetes, turite VM, bare metal, galbūt kelias skirtingas cloud platformas. Consul veikia visur ir gali sujungti visus šiuos environment’us į vieną service mesh.

Jau naudojate Consul service discovery. Jei jau turite Consul infrastruktūroje, Connect yra natūrali evolucija. Nereikia mokytis naujo įrankio ar migruoti į kitą platformą.

Jums reikia paprastumo. Palyginti su Istio ar Linkerd, Consul Connect yra paprastesnis – mažiau moving parts, paprastesnė konfigūracija, lengviau troubleshoot’inti.

Bet Consul Connect gali būti ne geriausias pasirinkimas, kai:

Jums reikia labai advanced traffic management features. Istio, pavyzdžiui, turi daug daugiau galimybių sophisticated routing, canary deployments, circuit breaking ir pan. Consul Connect turi basic funkcionalumą, bet ne tokį išplėstą.

Viskas yra Kubernetes ir jums nereikia nieko daugiau. Jei jūsų visas pasaulis yra K8s, Linkerd gali būti paprastesnis ir lengvesnis pasirinkimas.

Jums reikia maksimalaus performance. Nors Consul Connect yra greitas, kai kurie kiti mesh sprendimai (ypač tie, kurie naudoja eBPF) gali būti šiek tiek greitesni.

Alternatyvos, kurias verta apsvarstyti:

  • Istio – galingiausias, bet ir sudėtingiausias. Jei turite didelę komandą ir reikia visų įmanomų features, Istio yra top choice.
  • Linkerd – paprastesnis už Istio, bet vis tiek labai funkcionalus. Puikus balansas tarp features ir paprastumo Kubernetes aplinkoje.
  • AWS App Mesh – jei esate visiškai AWS ekosistemoje, native integracija gali būti privalumas.
  • Cilium Service Mesh – naudoja eBPF, labai greitas, bet reikalauja naujesnių kernel versijų.

Ateities perspektyvos ir kas laukia toliau

Service mesh technologija vis dar aktyviai vystosi, ir Consul Connect nėra išimtis. HashiCorp nuolat prideda naujas funkcijas ir gerina esamą funkcionalumą.

Viena iš įdomesnių krypčių – Consul dataplane. Tai nauja architektūra, kur sidecar proxy nebereikalauja pilno Consul agento kiekviename node’e. Vietoj to, lightweight dataplane procesas tiesiogiai komunikuoja su Consul serveriais. Tai sumažina resource overhead ir supaprastina deployment’ą, ypač Kubernetes aplinkoje.

Kita sritis – WebAssembly (Wasm) extensibility. Envoy jau palaiko Wasm extensions, ir Consul Connect leidžia juos naudoti. Tai reiškia, kad galite rašyti custom logic (pvz., custom authentication, rate limiting, data transformation) bet kokia kalba, kuri kompiliuojasi į Wasm, ir load’inti ją į proxy be poreikio rebuild’inti Envoy.

Multi-cluster ir multi-cloud scenarijai taip pat tampa vis svarbesni. Consul Federation leidžia sujungti kelis Consul datacenter’ius į vieną mesh, kas yra kritiškai svarbu enterprise aplinkose su keliais regionais ar cloud provideriais.

Žvelgiant į ateitį, service mesh technologija greičiausiai taps standartine dalimi bet kokios mikroservisų architektūros. Klausimas nebe „ar mums reikia service mesh”, o „kurį service mesh pasirinkti”. Consul Connect, su savo balansą tarp paprastumo ir funkcionalumo, tikrai išliks vienu iš stiprių kandidatų.

Svarbu suprasti, kad technologija pati savaime nėra tikslas. Service mesh, įskaitant Consul Connect, yra įrankis spręsti konkrečias problemas – saugumą, observability, reliability. Prieš įdiegdami bet kokį service mesh, įsitikinkite, kad tikrai turite problemas, kurias jis sprendžia. Jei turite tik kelis servisus ir paprasta architektūra, galbūt tradiciniai sprendimai bus pakankami. Bet jei augate, jei turite dešimtis ar šimtus servisų, jei saugumas ir compliance yra kritiniai – tada Consul Connect gali būti būtent tas įrankis, kurio jums reikia.

Taip pat gali patikti

Daugiau

Kong API gateway: mikroservisų valdymas