03.neuvector之组的划分逻辑

neuvector之组的划分逻辑

原文链接,欢迎大家关注我的github账号

一、组的定义

NeuVector 会自动从正在运行的应用程序中创建组。这些组以前缀‘nv‘开头。您也可以使用 CRD 或 REST API 手动添加它们,并且可以在任何模式下创建、发现、监视或保护。网络和响应规则需要这些组定义。对于自动创建的组(以“nv”开头的“学习”组) ,NeuVector 将学习网络和处理规则,并在发现模式下添加它们。自定义组不会自动学习和填充规则。注意: nv组开始时默认为进程/文件保护启用零漂移。

二、组的类型

neuvector组的类型分为三种:

  • 自定义组: 用户根据自定义的条件创建对应的组,自定义组不支持模式策略等;(支持相应规则、DLP\WAF检测、当NeuVector 无法识别内部网络,将其归类为“外部”网络时,可以为其指定内部服务的 DNS 名称、IP 地址或地址范围作为新的组,以避免被外部攻
    击。 )
  • crd生成的组:根据yaml文件内容生成对应的组;
  • 系统生成的组:neuvector自己学习生成的组

其中系统生成的组的类型可分为以下四种:

  1. nodes:根据集群节点集合生成的组
  2. external:外部组,主要用于查看与外部通信的网络规则
  3. service组:其中还有k8s的service也会生成相关组,命名规则为nv+.+ip.+service的名称+.+domain,但是这种类型的组不具备策略
    切换等操作,界面显示组时也会对传入并且属于内部(没有选择器的)的service类型组进行隐藏;
  4. 容器与pod组:根据组名分组,容器的组名生成逻辑为groupName=nv+.+serviceName+.+domain; 其中domain为命名空间,无命名空间则为空(例如docker、containerd容器);serviceName通过global.ORCH.GetService(&info.ContainerMeta)方法获取对应的serviceName;

三、代码中执行流程

neuvector组的生成流程图如下:

image.png

四、关键函数解析

GetService方法执行流程如下图 :

image.png

GetService根据不同的平台调用不同的方法:
当为k8s平台时:

  1. 首先查找容器有没有为deploymentconfig的标签,有则直接以deploymentconfig标签的值作为serviceName进行返回;
  2. 无则继续查看容器有没有为io.kubernetes.pod.name的标签,有的情况下分以下五种情况:
    2.1 如果k8s的flavor为rancher,并且这个容器的pod命名空间为"cattle-system",则判断这个pod的前缀和rancher相关的pod名称前缀
    (“rancher-agent-”,“core-services-dns-”,“core-services-metadata-”,“core-services-healthcheck-”,“core-services-network-manager-”)
    匹配,如果前缀匹配的话,将前缀作为serviceName进行返回;
    2.2 当2.1不满足时,查看容器是否有"pod-template-hash"的标签, 有则去掉pod名称的hash值然后作为serviceName进行返回;( pod.
    name比如采用如下格式: calico-node-m308t,其中-hash值是m308t,如果存在哈希标签,则删除它。serviceName为calico-node)
    2.3主要路径: 当2.1、2.2不满足时,判断pod名称是否满足正则表达式"^.*-[a-f0-9]{6,10}-[a-z0-9]{5} " 或者 " . ∗ − [ 0 − 9 ] 1 , 5 − [ a − z 0 − 9 ] 5 "或者"^.*-[0-9]{1,5}-[a-z0-9]{5} "或者".[09]1,5[az09]5"的
    pod名称,满足则以最后一个“-“作为分割线,将”-“之前的字符串作为serviceName进行返回;
    2.4 以上都不满足时,判断pod名称是否存在”-“字符,则以最后一个“-“作为分割线,将”-“之前的字符串作为serviceName进行返回;
    2.5 以上都不满足时,直接将pod名称作为serviceName进行返回;
  3. 当上述1、2都不满足时,直接调用baseDriver.GetService(meta)方法;
    3.1查看容器是否带有"com.docker.compose.project"、“com.docker.compose.service"标签也就是是否为docker compose方式部署 ,是则将(project + “.” + service)作为serviceName进行返回,其中service为"com.docker.compose.service"标签的值,project值为"Docker.Trusted.Registry"或者"Docker.UCP”
    3.2 无则查看容器是否带有"com.docker.swarm.service.name"也就是docker swarm方式部署,是则直接以标签的值作为serviceName进行返回;
    3.3 以上都不满足时,直接调用container.TrimContainerImageRepo(container.TrimContainerImageVersion(meta.Image)方法的返回值作为serviceName进行返回, 方法大概逻辑为去掉镜像的仓库前缀以及版本标签(以docker/controller:latest为例, serviceName为docker:controller);

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/628321.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

现阶段Python和Java哪个更吃香?

现阶段Python和Java哪个更吃香? 在开始前我有一些资料,是我根据网友给的问题精心整理了一份「Java的资料从专业入门到高级教程」, 点个关注在评论区回复“888”之后私信回复“888”,全部无偿共享给大家!!&…

论文阅读 Vision Transformer - VIT

文章目录 1 摘要1.1 核心 2 模型架构2.1 概览2.2 对应CV的特定修改和相关理解 3 代码4 总结 1 摘要 1.1 核心 通过将图像切成patch线形层编码成token特征编码的方法,用transformer的encoder来做图像分类 2 模型架构 2.1 概览 2.2 对应CV的特定修改和相关理解 解…

一个小程序跳转到另一个小程序中如何实现

小程序 保证两个小程序是一样的主体才可以跳转。怎么知道是不是同样的主体呢&#xff1f; 小程序的后台管理-设置-基本设置-基本信息。查看主体信息。 跳转 <button clicktoOtherMini()>跳转到另一个小程序</button> function toOtherMini(){wx.navigateToMini…

GPT实战系列-简单聊聊LangChain搭建本地知识库准备

GPT实战系列-简单聊聊LangChain搭建本地知识库准备 LangChain 是一个开发由语言模型驱动的应用程序的框架&#xff0c;除了和应用程序通过 API 调用&#xff0c; 还会&#xff1a; 数据感知 : 将语言模型连接到其他数据源 具有代理性质 : 允许语言模型与其环境交互 LLM大模型…

smartgit选择30天试用后需要输入可执行文件

突然有一天smartgit提示到期了&#xff0c;我按照以往那样删除license和preferences文件后&#xff0c;选择30天试用&#xff0c;弹出了需要选择git可执行文件。 我尝试选择了我的git.exe&#xff0c;发现根本不行&#xff0c;提示让我执行下git --version 执行过后提示我的.gi…

数据结构及其简单实现

栈 先进后出栈顶操作&#xff08;栈顶进&#xff0c;栈顶出&#xff09; class Strock {constructor() {this.data [] // 可以是对象this.count 0}push(item) {// 实现有三种// 1. this.data.push(item); // 2. this.data[this.data.length] item; this.count// 3this.dat…

CentOS 7 权限管理实战指南:用户组管理相关命令详解

前言 深入了解 CentOS 7 用户组管理的命令&#xff0c;掌握关键的用户组操作技巧。从创建和删除用户组、修改组属性&#xff0c;到设置组密码和管理组成员&#xff0c;这篇文章详细介绍了 CentOS 7 系统下常用的用户组管理命令&#xff0c;为读者小伙伴提供了实用而全面的指南…

Python武器库开发-武器库篇之Whois信息收集模块化(四十五)

Python武器库开发-武器库篇之Whois信息收集模块化(四十五) 我们在进行渗透的时候&#xff0c;需要进行全面的信息收集&#xff0c;除了主动信息收集之外&#xff0c;我们还经常会进行被动信息收集&#xff0c;Whois信息收集就是其中的一种,我们可以利用一些网站进行Whois信息收…

【LabVIEW FPGA入门】没有CompactRIO时进行编程测试

1.新建一个空白项目。 2.新建cRIO终端。 要添加仿真的远程实时目标&#xff0c;请选择项目名称&#xff0c;右击并选择新建>>目标和设备(Targets and Devices)。 3.新建终端和设备&#xff0c;选一个cRIO型号 接下来&#xff0c;当添加目标和设备窗口出现时&#xff0c;请…

虚拟ip可以解决所有的安全问题吗

虚拟IP&#xff08;Virtual IP&#xff09;是一种网络技术&#xff0c;可以把多台物理服务器或设备组合成一个逻辑集群&#xff0c;并且使用同一个IP地址对外提供服务。虚拟IP具有负载均衡、故障切换和高可用性等优势&#xff0c;同时还可以作为一种安全措施来增加系统的抗攻击…

[足式机器人]Part2 Dr. CAN学习笔记-Advanced控制理论 Ch04-12+13 不变性原理+非线性系统稳定设计

本文仅供学习使用 本文参考&#xff1a; B站&#xff1a;DR_CAN Dr. CAN学习笔记-Advanced控制理论 Ch04-1213 不变性原理非线性系统稳定设计 1. Invariance Princilpe-LaSalle;s Theorem不变性原理2. Nonlinear Basic Feedback Stabilization 非线性系统稳定设计 1. Invarianc…

springCloud使用apache的http类和RestTemplate以及Eureka

使用apache的&#xff1a; package com.csgholding.pvgpsp.eqp.util;import com.esotericsoftware.minlog.Log; import org.apache.commons.collections4.MapUtils; import org.apache.http.HttpEntity; import org.apache.http.client.config.RequestConfig; import org.apac…

强化学习(1)——scratching the surface

李宏毅老师的课件 https://www.bilibili.com/video/BV1XP4y1d7Bk/?spm_id_from333.337.search-card.all.click&vd_sourcee7939b5cb7bc219a05ee9941cd297ade ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/9502a795feba46959c56092d5f3…

蓝桥杯练习题(六)

&#x1f4d1;前言 本文主要是【算法】——蓝桥杯练习题&#xff08;六&#xff09;的文章&#xff0c;如果有什么需要改进的地方还请大佬指出⛺️ &#x1f3ac;作者简介&#xff1a;大家好&#xff0c;我是听风与他&#x1f947; ☁️博客首页&#xff1a;CSDN主页听风与他 …

【软件工程】《软件工程》期末复习提纲

《软件工程》期末复习提纲 第一章 第二章 第三章 第四章 第五章 第六章 第七章 第八章 第九章 第十章 第十一章 第十二章 第十三章 第十四章 小题参考 大题参考 《软件工程》期末复习提纲 第一章 1.在下列选项中&#xff0c;&#xff08; &#xff09;不是软…

Monorepo-uniapp 构建分享

Monorepo uniapp 构建灵感&#xff1a;刚好要做一个项目&#xff0c;于是想到升级一下之前自己写的一个vue3tspiniauno的模版框架&#xff0c;其实那个框架也不错&#xff1b;只是感觉还差点东西&#xff0c;我已经用那个小框架写了两三个项目&#xff1b;轻巧实用。为什么选…

Unity中的异步编程【7】——在一个异步方法里播放了animation动画,取消任务时,如何停止动画播放

用一个异步方法来播放一个动画&#xff0c;正常情况是&#xff1a;动画播放结束时&#xff0c;异步方法宣告结束。那如果我提前取消这个异步任务&#xff0c;那在这个异步方法里面&#xff0c;我要怎么停止播放呢&#xff1f;&#xff01; 一、播放animation动画的异步实现 1…

探索数据的奥秘:一份深入浅出的数据分析入门指南

数据分析 书籍推荐 入门读物 深入浅出数据分析啤酒与尿布数据之美数学之美 数据分析 Scipy and NumpyPython for Data AnalysisBad Data Handbook集体智慧编程Machine Learning in Action机器学习实战Building Machine Learning Systems with Python数据挖掘导论Machine L…

基于Python的汽车信息爬取与可视化分析系统

介绍 这款汽车信息网站是基于多项技术和框架设计的全面的汽车信息展示及查询系统。其中&#xff0c;采用了Python Django框架和Scrapy爬虫技术实现数据的抓取和处理&#xff0c;结合MySQL数据库进行数据存储和管理&#xff0c;利用Vue3、Element-Plus、ECharts以及Pinia等前端…

vivado 添加现有IP文件、生成IP

添加现有IP文件 作为从AMD IP目录添加和自定义IP的替代方案&#xff0c;您可以直接添加XCI或XCIX文件。此过程不同于从按以下方式编目&#xff1a; •XCI或XCIX文件可能是早期版本&#xff0c;也可能是相同或完全自定义的版本AMD IP目录中发现的类似IP。 •XCI或XCIX文件可能…