หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ตัวตรวจสอบพอร์ตเรย์เปิด

repo นี้มียูทิลิตี้ที่โครงการ Ray กำลังปล่อยออกมาเพื่อช่วยให้ผู้ใช้ Ray ตรวจสอบได้ว่าคลัสเตอร์ของพวกเขาไม่ได้รับการกำหนดค่าอย่างไม่ถูกต้องในลักษณะที่อาจทำให้ไคลเอนต์ที่ไม่น่าเชื่อถือสามารถเรียกใช้โค้ดที่กำหนดเองบนคลัสเตอร์ของตนได้

สิ่งนี้ทำอะไร?

โดยจะรันชุดงานของ Ray ทั่วทั้งคลัสเตอร์เพื่อรวบรวมรายการพอร์ตที่ Ray ใช้งานอยู่ในปัจจุบัน จากนั้นแต่ละโหนดจะส่งชุดพอร์ตที่ใช้งานอยู่ในเครื่องไปยังบริการที่ดำเนินการโดยทีม Ray ที่ทำงานบนอินเทอร์เน็ตสาธารณะ จากนั้นจะพยายามเชื่อมต่อกลับและตรวจสอบว่าสามารถเข้าถึงได้หรือไม่ หากพบว่าสามารถเข้าถึงได้สคริปต์จะรายงานรายละเอียด

ข้อจำกัดที่ทราบ

  • เครื่องมือนี้ขึ้นอยู่กับการกำหนดค่าเครือข่ายขาเข้าและขาออกแบบสมมาตร หากคุณใช้กฎไฟร์วอลล์แบบกำหนดเองหรือกฎ NAT ที่แก้ไขสิ่งนั้น รวมถึงการเปลี่ยนเส้นทางพอร์ต การกำหนดเส้นทางการเชื่อมต่อข้ามที่อยู่ IP ที่แตกต่างกัน การใช้เครื่องมือนี้อาจส่งผลให้เกิดผลลบที่ผิดพลาด
  • คลัสเตอร์ที่ทำงานบน kubernetes (ผ่าน KubeRay) หรือกลไกการปรับใช้ที่ใช้คอนเทนเนอร์อื่นๆ อาจส่งผลให้เกิดผลลบลวง เนื่องจากพอร์ตที่ Ray เชื่อว่ากำลังทำงานอยู่อาจไม่สามารถสะท้อนถึงพอร์ตบนโฮสต์พื้นฐานหรือโทโพโลยีเครือข่ายรอบๆ โฮสต์ได้อย่างถูกต้อง

ตัวอย่างเอาท์พุต

ไม่พบพอร์ตที่เปิดอยู่ 

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

ตรวจพบพอร์ตที่เปิดอยู่ 

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

คำแนะนำ

สคริปต์ตัวตรวจสอบ (checker.py) สามารถพบได้ในรูทของ repo นี้ มีจุดมุ่งหมายเพื่อให้ง่ายต่อการปรับใช้โดยเป็นสคริปต์ python ไฟล์เดียวที่ไม่มีการพึ่งพาใด ๆ นอกเหนือจาก Ray เอง

แนวคิดในการปรับใช้:

  • คัดลอกไปยังโหนดหลักของคุณแล้วรัน
  • ใช้ API การส่งงานของ Ray
  • ใช้ไคลเอนต์เรย์

ถามตอบ:

  • เหตุใดจึงไม่สามารถทำงานแบบออฟไลน์ล้วนๆ ได้ / เพราะเหตุใดคุณจึงต้องสื่อสารกลับไปยังเซิร์ฟเวอร์ภายนอก?

    • การกำหนดค่าเครือข่ายท้องถิ่นอาจทำให้เข้าใจผิด ซอฟต์แวร์ที่เชื่อมโยงกับ 0.0.0.0 ไม่ได้หมายความว่าสามารถเข้าถึงอินเทอร์เน็ตได้ซึ่งเป็นสถานการณ์การใช้งานส่วนใหญ่
    • การดำเนินการตรวจสอบตั้งแต่ต้นจนจบกับเซิร์ฟเวอร์บนอินเทอร์เน็ตจะช่วยลดโอกาสที่จะเกิดผลบวกลวง
    • นอกจากนี้: หากคุณไม่ต้องการใช้เซิร์ฟเวอร์ที่โฮสต์ของ Ray Teams คุณสามารถโฮสต์ของคุณเองได้ ซอร์สโค้ดแบบเต็มอยู่ใน server

  • ตัวเลือกอื่นๆ ของฉันมีอะไรบ้าง?

    • สคริปต์นี้ทำให้กระบวนการระบุโหนดทั้งหมดในคลัสเตอร์ Ray ของคุณเป็นแบบอัตโนมัติ และถามเซิร์ฟเวอร์บนอินเทอร์เน็ตว่ามีพอร์ต TCP ใดบ้างที่สามารถเข้าถึงได้ คุณสามารถตรวจสอบที่คล้ายกันโดยใช้เครื่องมือสแกนพอร์ตที่เปิดเผยต่อสาธารณะ
    • โปรดตรวจสอบว่าสิ่งนี้ทำงานอย่างไรและปรับให้เข้ากับความต้องการของคุณได้ตามใจชอบ ซึ่งควรจะได้ผลนอกกรอบ แต่โปรดปรับแต่งตามความต้องการของคุณได้ตามใจชอบ

ความเป็นส่วนตัว

โปรดทราบว่าหากคุณใช้เซิร์ฟเวอร์ที่โฮสต์ของ Anyscale: เราอาจรวบรวมข้อมูลตามนโยบายความเป็นส่วนตัวของเราที่ส่งไปยังเซิร์ฟเวอร์ (เช่น ที่อยู่ IP พอร์ตที่เปิดอยู่) เพื่อช่วยปรับปรุง Ray และกำหนดขอบเขตที่การกำหนดค่าที่ไม่ถูกต้องเหล่านี้ยังคงเป็นปัญหาอยู่ .

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด