HTTP

HTTP es responsable de enviar y recibir documentos de Lenguaje de Marcado de Hipertexto (HTML), ya sabes, una página web. Una gran mayoría de lo que vemos y hacemos en Internet es a través de HTTP: las compras en Amazon, las publicaciones en Reddit y los tweets utilizan HTTP. Un cliente hará una solicitud HTTP a nuestro servidor web Golang mínimo del Ejemplo 1-1, y éste enviará una respuesta HTTP con el texto "Hola". El servidor web se ejecuta localmente en una máquina virtual Ubuntu para probar la pila TCP/IP completa.

package main

import (
	"fmt"
	"net/http"
)

func hello(w http.ResponseWriter, _ *http.Request) {
	fmt.Fprintf(w, "Hello")
}

func main() {
	http.HandleFunc("/", hello)
	http.ListenAndServe("0.0.0.0:8080", nil)
}

En nuestra máquina virtual Ubuntu necesitamos iniciar nuestro servidor web mínimo, o si tienes Golang instalado localmente, puedes simplemente ejecutar esto:

go run web-server.go

Vamos a desglosar la solicitud para cada capa de la pila TPC/IP.

cURL es el cliente solicitante de para nuestro ejemplo de solicitud HTTP. Generalmente, para una página web, el cliente sería un navegador web, pero estamos utilizando cURL para simplificar y mostrar la línea de comandos.

En el Ejemplo 1-2, podemos ver cada parte de la petición HTTP que realiza el cliente cURL y la respuesta. Repasemos qué son todas esas opciones y salidas.

○ → curl localhost:8080 -vvv 
*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 8080 
> GET / HTTP/1.1 
> Host: localhost:8080 
> User-Agent: curl/7.64.1 
> Accept: */* 
>
< HTTP/1.1 200 OK 
< Date: Sat, 25 Jul 2020 14:57:46 GMT 
< Content-Length: 5 
< Content-Type: text/plain; charset=utf-8 
<
* Connection #0 to host localhost left intact
Hello* Closing connection 0 

curl localhost:8080 -vvv: Este es el comando curl que abre una conexión con el servidor web que se ejecuta localmente, localhost en el puerto TCP 8080. -vvv establece la verbosidad de la salida para que podamos ver todo lo que ocurre con la petición. Además, TCP_NODELAY indica a la conexión TCP que envíe los datos sin retraso, una de las muchas opciones que el cliente puede configurar.

Connected to localhost (::1) port 8080 Funcionó! cURL se conectó al servidor web en localhost y a través del puerto 8080.

Get / HTTP/1.1 HTTP tiene varios métodos para recuperar o actualizar información. En nuestra solicitud, estamos realizando un GET HTTP para recuperar nuestra respuesta "Hola". La barra diagonal es la siguiente parte, un Localizador Uniforme de Recursos (URL), que indica dónde estamos enviando la petición del cliente al servidor. La última sección de esta cabecera es la versión de HTTP que está utilizando el servidor, 1.1.

Host: localhost:8080 HTTP tiene varias opciones para enviar información sobre la solicitud. En nuestra solicitud, el proceso cURL ha establecido la cabecera HTTP Host. El cliente y el servidor pueden transmitir información con una solicitud HTTP o una respuesta. Una cabecera HTTP contiene su nombre seguido de dos puntos (:) y a continuación su valor.

User-Agent: cURL/7.64.1: El agente de usuario es una cadena que indica el programa informático que realiza la solicitud HTTP en nombre del usuario final; en nuestro contexto es cURL. Esta cadena suele identificar el navegador, su número de versión y su sistema operativo anfitrión.

Accept: */*: Esta cabecera indica al servidor web qué tipos de contenido entiende el cliente. La Tabla 1-3 muestra ejemplos de tipos de contenido comunes que se pueden enviar.

HTTP/1.1 200 OK: Ésta es la respuesta del servidor a nuestra petición. El servidor responde con la versión HTTP y el código de estado de la respuesta. Hay varias respuestas posibles del servidor. Un código de estado 200 indica que la respuesta ha sido correcta. 1XX significa informativo, 2XX significa correcto, 3XX significa redirecciones, 4XX respuestas indican que hay problemas con las peticiones, y 5XX generalmente se refiere a problemas del servidor.

Date: Sat, July 25, 2020, 14:57:46 GMT: El campo de cabecera Date representa la fecha y hora en que se originó el mensaje. El remitente genera el valor como la fecha y hora aproximadas de generación del mensaje.

Content-Length: 5: La cabecera Content-Length indica el tamaño del cuerpo del mensaje, en bytes, enviado al destinatario; en nuestro caso, el mensaje es de 5 bytes.

Content-Type: text/plain; charset=utf-8: La cabecera de entidad Content-Type se utiliza para indicar el tipo de medio del recurso. Nuestra respuesta está indicando que devuelve un archivo de texto plano codificado en UTF-8.

Hello* Closing connection 0: Esto imprime la respuesta de nuestro servidor web y cierra la conexión HTTP .

Esta es una visión simplista de que ocurre con cada solicitud HTTP. Hoy en día, una sola página web realiza un número exorbitante de peticiones con una sola carga de página, ¡y en cuestión de segundos! Éste es un breve ejemplo para los administradores de clusters de cómo funciona HTTP (y, para el caso, las aplicaciones de las otras siete capas). Seguiremos ampliando nuestros conocimientos sobre cómo se completa esta solicitud en cada capa de la pila TCP/IP y, a continuación, sobre cómo Kubernetes completa esas mismas solicitudes. Todos estos datos se formatean y las opciones se establecen en la capa 7, pero el verdadero trabajo pesado de se realiza en las capas inferiores de la pila TCP/IP, que repasaremos en las próximas secciones.

TCP

Como ya se ha mencionado, TCP es un protocolo fiable orientado a la conexión, y proporciona control de flujo y multiplexación. TCP se considera orientado a la conexión porque gestiona el estado de la conexión a lo largo de su ciclo de vida. En TCP, el tamaño de la ventana gestiona el control de flujo, a diferencia de UDP, que no gestiona el flujo de congestión. Además, UDP no es fiable, y los datos pueden llegar fuera de secuencia. Cada puerto identifica el proceso anfitrión responsable de procesar la información de la comunicación de red. TCP es conocido como un protocolo de capa de host a host. Para identificar el proceso del host responsable de la conexión, TCP identifica los segmentos con un número de puerto de 16 bits. Los servidores HTTP utilizan el conocido puerto 80 para la comunicación no segura y el 443 para la comunicación segura mediante Transport Layer Security (TLS). Los clientes que solicitan una nueva conexión crean un puerto de origen local en el rango de 0-65534.

Para entender cómo TCP realiza la multiplexación, revisemos una simple recuperación de una página HTML:

1. En un navegador web, escribe la dirección de una página web.

2. El navegador abre una conexión para transferir la página.

3. El navegador abre conexiones para cada imagen de la página.

4. El navegador abre otra conexión para el CSS externo.

5. Cada una de estas conexiones utiliza un conjunto diferente de puertos virtuales.

6. Todos los activos de la página se descargan simultáneamente.

7. El navegador reconstruye la página.

Veamos cómo gestiona el TCP la multiplexación con la información proporcionada en las cabeceras de segmento TCP:

Source port (16 bits)

Identifica el puerto de envío.

Destination port (16 bits)

Identifica el puerto receptor.

Sequence number (32 bits)

Si la bandera SYN es , éste es el número de secuencia inicial. El número de secuencia del primer byte de datos y el número reconocido en el ACK correspondiente es este número de secuencia más 1. También se utiliza para reensamblar los datos si llegan desordenados.

Acknowledgment number (32 bits)

Si está activada la bandera ACK , el valor de este campo es el siguiente número de secuencia del ACK que espera el remitente. Esto acusa recibo de todos los bytes precedentes (si los hay). El primer ACK de cada extremo acusa recibo del propio número de secuencia inicial del otro extremo, pero no se ha enviado ningún dato.

Data offset (4 bits)

Especifica en el tamaño de la cabecera TCP en palabras de 32 bits.

Reserved (3 bits)

Esto es para uso futuro y debe ponerse a cero.

Flags (9 bits)

Hay nueve campos de 1 bit definidos para la cabecera TCP:

• NS-ECN-nonce: Protección de ocultación.

• CWR: Ventana de congestión reducida; el remitente redujo su velocidad de envío.

• ECE: Eco ECN; el remitente recibió una notificación de congestión anterior.

• URG: Urgente; el campo Puntero Urgente es válido, pero rara vez se utiliza.

• ACK: Acuse de recibo; el campo Número de acuse de recibo es válido y siempre está activado después de establecer una conexión.

• PSH: Push; el receptor debe pasar estos datos a la aplicación lo antes posible.

• RST: Restablecer la conexión o abortar la conexión, normalmente debido a un error.

• SYN: Sincroniza los números de secuencia para iniciar una conexión.

• FIN: El emisor del segmento ha terminado de enviar datos a su par.

Nota

El campo de bits NS es y se explica con más detalle en el RFC 3540, "Señalización robusta de Notificación Explícita de Congestión (ECN) con Nonces". Esta especificación describe una adición opcional a ECN que mejora la robustez frente a la ocultación maliciosa o accidental de paquetes marcados.

Window size (16 bits)

Es el tamaño de la ventana de recepción.

Checksum (16 bits)

El campo suma de comprobación se utiliza para la comprobación de errores de la cabecera TCP.

Urgent pointer (16 bits)

Es un desplazamiento del número de secuencia que indica el último byte de datos urgentes.

Options

Variable 0-320 bits, en unidades de 32 bits.

Padding

El relleno de la cabecera TCP se utiliza para garantizar que la cabecera TCP termina y los datos comienzan en un límite de 32 bits.

Data

Este es el fragmento de los datos de la aplicación que se envían en este segmento.

En la Figura 1-4, podemos ver todas las cabeceras de segmento TCP que proporcionan metadatos sobre los flujos TCP.

Figura 1-4. Cabecera de segmento TCP

Estos campos ayudan a gestionar el flujo de datos entre dos sistemas. La Figura 1-5 muestra cómo cada paso de la pila TCP/IP envía datos desde una aplicación en un host, a través de una red que se comunica en las capas 1 y 2, para hacerlos llegar al host de destino.

Figura 1-5. Flujo de datos tcp/ip

En la siguiente sección , mostraremos cómo TCP utiliza estos campos para iniciar una conexión a través del handshake de tres vías.

Apretón de manos TCP

TCP utiliza un apretón de manos a tres bandas , representado en la Figura 1-6, para crear una conexión intercambiando información a lo largo del camino con varias opciones y banderas:

1. El nodo solicitante envía una petición de conexión mediante un paquete SYN para que se inicie la transmisión.

2. Si el nodo receptor está escuchando en el puerto que solicita el remitente, el nodo receptor responde con un SYN-ACK, reconociendo que ha escuchado al nodo solicitante.

3. El nodo solicitante devuelve un paquete ACK, intercambiando información y haciéndoles saber que los nodos están en condiciones de enviarse información.

Figura 1-6. Intercambio TCP a tres bandas

Ahora la conexión está establecida. Los datos pueden transmitirse a través del medio físico, enrutados entre redes, para encontrar su camino hacia el destino local, pero ¿cómo sabe el punto final cómo manejar la información? En los hosts local y remoto, se crea un socket para seguir esta conexión. Un socket no es más que un punto final lógico para la comunicación. Enel Capítulo 2, veremos cómo manejan los sockets un cliente y un servidor Linux.

TCP es un protocolo con estado, que rastrea el estado de la conexión a lo largo de su ciclo de vida. El estado de la conexión depende de que tanto el emisor como el receptor estén de acuerdo en qué punto del flujo de conexión se encuentran. El estado de la conexión se refiere a quién envía y recibe datos en el flujo TCP. TCP tiene una transición de estado compleja para explicar cuándo y dónde está la conexión, utilizando las banderas TCP de 9 bits en la cabecera del segmento TCP, como puedes ver en la Figura 1-7.

Los estados de la conexión TCP son:

LISTEN (servidor)

Representa la espera de una solicitud de conexión de cualquier TCP remoto y puerto

SYN-SENT (cliente)

Representa la espera de una solicitud de conexión coincidente después de enviar una solicitud de conexión

SYN-RECEIVED (servidor)

Representa la espera de un acuse de recibo de confirmación de solicitud de conexión después de haber recibido y enviado una solicitud de conexión

ESTABLISHED (tanto servidor como cliente)

Representa una conexión abierta; los datos recibidos pueden ser entregados al usuario -el estado intermedio para la fase de transferencia de datos de la conexión

FIN-WAIT-1 (tanto servidor como cliente)

Representa la espera de una solicitud de finalización de conexión del host remoto

FIN-WAIT-2 (tanto servidor como cliente)

Representa la espera de una solicitud de finalización de conexión del TCP remoto

CLOSE-WAIT (tanto servidor como cliente)

Representa la espera de una solicitud de finalización de conexión de un usuario local

CLOSING (tanto servidor como cliente)

Representa la espera de un acuse de recibo de solicitud de finalización de conexión del TCP remoto

LAST-ACK (tanto servidor como cliente)

Representa la espera de un acuse de recibo de la solicitud de finalización de conexión enviada previamente al host remoto

TIME-WAIT (servidor o cliente)

Representa esperar a que pase el tiempo suficiente para asegurarse de que el host remoto ha recibido el acuse de recibo de su solicitud de finalización de conexión

CLOSED (tanto servidor como cliente)

No representa ningún estado de la conexión

Figura 1-7. Diagrama de transición de estados TCP

El Ejemplo 1-3 es una muestra de las conexiones TCP de un Mac, su estado y las direcciones de ambos extremos de la conexión.

○ → netstat -ap TCP
Active internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp6       0      0  2607:fcc8:a205:c.53606 g2600-1407-2800-.https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53603 g2600-1408-5c00-.https ESTABLISHED
tcp4       0      0  192.168.0.17.53602     ec2-3-22-64-157..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53600 g2600-1408-5c00-.https ESTABLISHED
tcp4       0      0  192.168.0.17.53598     164.196.102.34.b.https ESTABLISHED
tcp4       0      0  192.168.0.17.53597     server-99-84-217.https ESTABLISHED
tcp4       0      0  192.168.0.17.53596     151.101.194.137.https  ESTABLISHED
tcp4       0      0  192.168.0.17.53587     ec2-52-27-83-248.https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53586 iad23s61-in-x04..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53542 iad23s61-in-x04..https ESTABLISHED
tcp4       0      0  192.168.0.17.53536     ec2-52-10-162-14.https ESTABLISHED
tcp4       0      0  192.168.0.17.53530     server-99-84-178.https ESTABLISHED
tcp4       0      0  192.168.0.17.53525     ec2-52-70-63-25..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53480 upload-lb.eqiad..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53477 text-lb.eqiad.wi.https ESTABLISHED
tcp4       0      0  192.168.0.17.53466     151.101.1.132.https    ESTABLISHED
tcp4       0      0  192.168.0.17.53420     ec2-52-0-84-183..https ESTABLISHED
tcp4       0      0  192.168.0.17.53410     192.168.0.18.8060      CLOSE_WAIT
tcp6       0      0  2607:fcc8:a205:c.53408 2600:1901:1:c36:.https ESTABLISHED
tcp4       0      0  192.168.0.17.53067     ec2-52-40-198-7..https ESTABLISHED
tcp4       0      0  192.168.0.17.53066     ec2-52-40-198-7..https ESTABLISHED
tcp4       0      0  192.168.0.17.53055     ec2-54-186-46-24.https ESTABLISHED
tcp4       0      0  localhost.16587        localhost.53029        ESTABLISHED
tcp4       0      0  localhost.53029        localhost.16587        ESTABLISHED
tcp46      0      0  *.16587                *.*                    LISTEN
tcp6      56      0  2607:fcc8:a205:c.56210 ord38s08-in-x0a..https CLOSE_WAIT
tcp6       0      0  2607:fcc8:a205:c.51699 2606:4700::6810:.https ESTABLISHED
tcp4       0      0  192.168.0.17.64407     do-77.lastpass.c.https ESTABLISHED
tcp4       0      0  192.168.0.17.64396     ec2-54-70-97-159.https ESTABLISHED
tcp4       0      0  192.168.0.17.60612     ac88393aca5853df.https ESTABLISHED
tcp4       0      0  192.168.0.17.58193     47.224.186.35.bc.https ESTABLISHED
tcp4       0      0  localhost.63342        *.*                    LISTEN
tcp4       0      0  localhost.6942         *.*                    LISTEN
tcp4       0      0  192.168.0.17.55273     ec2-50-16-251-20.https ESTABLISHED

Ahora que sabemos más sobre cómo TCP construye y rastrea las conexiones , vamos a revisar la solicitud HTTP para nuestro servidor web en la capa de Transporte utilizando TCP. Para ello, utilizaremos una herramienta de línea de comandos llamada tcpdump.

tcpdump

tcpdump imprime una descripción del contenido de los paquetes de una interfaz de red que coincida con la expresión booleana.

tcpdump página man

tcpdump permite a los administradores y usuarios visualizar todos los paquetes procesados en el sistema y filtrarlos en función de muchos detalles de la cabecera del segmento TCP. En la solicitud, filtramos todos los paquetes con el puerto de destino 8080 en la interfaz de red etiquetada como lo0; ésta es la interfaz loopback local del Mac. Nuestro servidor web se ejecuta en 0.0.0.0:8080. La Figura 1-8 muestra donde tcpdump está recopilando datos en referencia a la pila TCP/IP completa, entre el controlador de la tarjeta de interfaz de red (NIC) y la capa 2.

Figura 1-8. Captura de paquetestcpdump

El formato general de una salida de tcpdump contendrá los siguientes campos: tos,TTL, id, offset, flags, proto, length, y options. Vamos a repasarlos:

tos

El tipo de campo de servicio.

TTL

El tiempo de vida; no se informa si es cero.

id

El campo de identificación IP .

offset

El campo de desplazamiento del fragmento ; se imprime tanto si forma parte de un datagrama fragmentado como si no.

flags

La bandera DF, Don't Fragment, que indica que el paquete no puede fragmentarse para su transmisión. Cuando está desactivada, indica que el paquete puede fragmentarse. La bandera MF, Más Fragmentos, indica que hay paquetes que contienen más fragmentos y cuando se desestablece, indica que no quedan más fragmentos.

proto

El campo ID del protocolo .

length

El campo de longitud total de .

options

Las opciones de IP .

Los sistemas que admiten la descarga de sumas de comprobación y las sumas de comprobación IP, TCP y UDP se calculan en la NIC antes de transmitirse por el cable. Como estamos ejecutando una captura de paquetes tcpdump antes de la NIC, en la salida del Ejemplo 1-4 aparecen errores como cksum 0xfe34 (incorrect -> 0xb4c1).

Para producir la salida del Ejemplo 1-4, abre otro terminal e inicia un rastreo tcpdump en el loopback sólo para TCP y el puerto 8080; de lo contrario, verás muchos otros paquetes no relevantes para nuestro ejemplo. Necesitarás usar privilegios escalados para rastrear paquetes, así que eso significa usar sudo en este caso.

○ → sudo tcpdump -i lo0 tcp port 8080 -vvv  

tcpdump: listening on lo0, link-type NULL (BSD loopback),
capture size 262144 bytes  

08:13:55.009899 localhost.50399 > localhost.http-alt: Flags [S],
cksum 0x0034 (incorrect -> 0x1bd9), seq 2784345138,
win 65535, options [mss 16324,nop,wscale 6,nop,nop,TS val 587364215 ecr 0,
sackOK,eol], length 0 

08:13:55.009997 localhost.http-alt > localhost.50399: Flags [S.],
cksum 0x0034 (incorrect -> 0xbe5a), seq 195606347,
ack 2784345139, win 65535, options [mss 16324,nop,wscale 6,nop,nop,
TS val 587364215 ecr 587364215,sackOK,eol], length 0  

08:13:55.010012 localhost.50399 > localhost.http-alt: Flags [.],
cksum 0x0028 (incorrect -> 0x1f58), seq 1, ack 1,
win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

v 08:13:55.010021 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1f58), seq 1, ack
1, win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010079 localhost.50399 > localhost.http-alt: Flags [P.],
cksum 0x0076 (incorrect -> 0x78b2), seq 1:79,
ack 1, win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 78: HTTP, length: 78  
GET / HTTP/1.1
Host: localhost:8080
User-Agent: curl/7.64.1
Accept: */*
08:13:55.010102 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1f0b), seq 1,
ack 79, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010198 localhost.http-alt > localhost.50399: Flags [P.],
cksum 0x00a1 (incorrect -> 0x05d7), seq 1:122,
ack 79, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 121: HTTP, length: 121  
HTTP/1.1 200 OK
Date: Wed, 19 Aug 2020 12:13:55 GMT
Content-Length: 5
Content-Type: text/plain; charset=utf-8
Hello[!http]

08:13:55.010219 localhost.50399 > localhost.http-alt: Flags [.], cksum 0x0028
(incorrect -> 0x1e93), seq 79,
ack 122, win 6369, options [nop,nop,TS val 587364215 ecr 587364215], length 0  

08:13:55.010324 localhost.50399 > localhost.http-alt: Flags [F.],
cksum 0x0028 (incorrect -> 0x1e92), seq 79,
ack 122, win 6369, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010343 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1e91), seq 122,
\ack 80, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010379 localhost.http-alt > localhost.50399: Flags [F.],
cksum 0x0028 (incorrect -> 0x1e90), seq 122,
ack 80, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010403 localhost.50399 > localhost.http-alt: Flags [.],
cksum 0x0028 (incorrect -> 0x1e91), seq 80, ack
123, win 6369, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

 12 packets captured, 12062 packets received by filter
 0 packets dropped by kernel.  

Este es el inicio de la colección tcpdump con su comando y todas sus opciones. El paquete sudo captura los privilegios escalados necesarios. tcpdump es el binario tcpdump. -i lo0 es la interfaz desde la que queremos capturar paquetes. dst port 8080 es la expresión de coincidencia de la que hablaba la página de manual; aquí estamos coincidiendo en todos los paquetes destinados al puerto TCP 8080, que es el puerto en el que el servicio web está escuchando las peticiones. -v es la opción verbose, que nos permite ver más detalles de la captura tcpdump.

Comentarios de tcpdump sobre el funcionamiento del filtro tcpdump.

Éste es el primer paquete del apretón de manos TCP. Podemos decir que es el SYN porque el bit flags está establecido con [S], y el número de secuencia está establecido con 2784345138 por cURL, siendo el número de proceso localhost 50399.

El paquete SYN-ACK es el filtrado por tcpdump desde el proceso localhost.http-alt, el servidor web Golang. La bandera es a [S.], por lo que es un SYN-ACK. El paquete envía 195606347 como siguiente número de secuencia, y se establece ACK 2784345139 para confirmar el paquete anterior.

El paquete de reconocimiento de cURL se envía ahora de vuelta al servidor con la bandera ACK activada, [.], con los números ACK y SYN a 1, lo que indica que está preparado para enviar datos.

El número de acuse de recibo se pone a 1 para indicar la recepción de la bandera SYN del cliente en el push de datos de apertura.

La conexión TCP está establecida; tanto el cliente como el servidor están listos para la transmisión de datos. Los siguientes paquetes son nuestras transmisiones de datos de la solicitud HTTP con la bandera ajustada a un push de datos y ACK, [P.]. Los paquetes anteriores tenían una longitud de cero, pero la solicitud HTTP tiene una longitud de 78 bytes, con un número de secuencia de 1:79.

El servidor acusa recibo de la transmisión de datos, con la bandera ACK activada, [.], enviando el número de acuse de recibo 79.

Este paquete es la respuesta del servidor HTTP a la solicitud cURL. La bandera de envío de datos está activada, [P.], y reconoce el paquete anterior con un número ACK de 79. Se establece un nuevo número de secuencia con la transmisión de datos, 122, y la longitud de los datos es de 121 bytes.

El cliente cURL acusa recibo del paquete con la bandera ACK activada, establece el número de acuse de recibo en 122 y establece el número de secuencia en 79.

Inicio del cierre de la conexión TCP, con el envío por parte del cliente del paquete FIN-ACK, el [F.], acusando recibo del paquete anterior, el número 122, y un nuevo número de secuencia a 80.

El servidor incrementa el número de acuse de recibo a 80 y activa la bandera ACK.

TCP requiere que tanto el emisor como el receptor establezcan el paquete FIN para cerrar la conexión. Éste es el paquete en el que se establecen las banderas FIN y ACK.

Éste es el último ACK del cliente, con el número de acuse de recibo 123. La conexión se cierra ahora.

tcpdump al salir nos permite saber el número de paquetes de esta captura, el número total de paquetes capturados durante la tcpdump, y cuántos paquetes fueron descartados por el sistema operativo.

tcpdump es una excelente aplicación de solución de problemas tanto para ingenieros de redes como para administradores de clústeres. Poder verificar la conectividad en muchos niveles del clúster y de la red son habilidades muy valiosas. En el Capítulo 6 verás lo útil que puede ser tcpdump.

Nuestro ejemplo era una simple aplicación HTTP que utilizaba TCP. Todos estos datos se enviaron a través de la red en texto plano. Aunque este ejemplo era un simple "Hola Mundo", otras solicitudes como nuestros inicios de sesión en el banco necesitan tener cierta seguridad. La capa de Transporte no ofrece ninguna protección de seguridad para los datos que transitan por la red . TLS añade seguridad adicional a TCP. Vamos a profundizar en ello en la siguiente sección.

TLS

TLS añade encriptación a TCP. TLS es un complemento del conjunto TCP/IP y no se considera parte del funcionamiento base de TCP. Las transacciones HTTP pueden completarse sin TLS, pero no son seguras frente a los fisgones en el cable. TLS es una combinación de protocolos utilizados para garantizar la visibilidad del tráfico entre el remitente y el destinatario. TLS, al igual que TCP, utiliza un apretón de manos para establecer las capacidades de cifrado e intercambiar claves para el cifrado. En los pasos siguientes se detalla el handshake TLS entre el cliente y el servidor, que también puede verse en la Figura 1-9:

1. ClientHello: Contiene los conjuntos de cifrado admitidos por el cliente y un número aleatorio.

2. ServerHello: Este mensaje contiene el cifrado que admite y un número aleatorio.

3. CertificadoServidor: Contiene el certificado del servidor y su clave pública.

4. ServerHelloHecho: Es el final del ServerHello. Si el cliente recibe una solicitud de su certificado, envía un mensaje ClientCertificate.

5. IntercambioClaveCliente: Basándose en el número aleatorio del servidor, nuestro cliente genera un secreto premaster aleatorio, lo cifra con el certificado de clave pública del servidor y lo envía al servidor.

6. Generación de claves: El cliente y el servidor generan un secreto maestro a partir del secreto premaestro e intercambian valores aleatorios.

7. ChangeCipherSpec: Ahora el cliente y el servidor intercambian su ChangeCipherSpec para empezar a utilizar las nuevas claves para la encriptación.

8. Cliente finalizado: El cliente envía el mensaje finalizado para confirmar que el intercambio de claves y la autenticación se han realizado correctamente.

9. Servidor finalizado: Ahora, el servidor envía el mensaje finalizado al cliente para terminar el apretón de manos.

Las aplicaciones y componentes de Kubernetes gestionarán TLS para los desarrolladores, por lo que se requiere una introducción básica; el Capítulo 5 repasa más sobre TLS y Kubernetes.

Como se ha demostrado con nuestro servidor web, cURL, y tcpdump, TCP es un protocolo con estado y fiable para enviar datos entre hosts. Su uso de banderas, combinado con el baile de números de secuencia y acuse de recibo que realiza, permite enviar miles de mensajes a través de redes poco fiables de todo el mundo. Sin embargo, esa fiabilidad tiene un coste. De los 12 paquetes que establecimos, sólo dos eran transferencias de datos reales. Para las aplicaciones que no necesitan fiabilidad, como la voz, la sobrecarga que conlleva UDP ofrece una alternativa. Ahora que entendemos cómo funciona TCP como protocolo fiable orientado a la conexión , repasemos en qué se diferencia UDP de TCP.

Figura 1-9. Intercambio TLS

Moverse por la red

Los paquetes están direccionados y los datos listos para ser enviados, pero ¿cómo llegan los paquetes desde nuestro host en nuestra red hasta el destinatario alojado en otra red al otro lado del mundo? Ese es el trabajo del encaminamiento. Existen varios protocolos de enrutamiento, pero la Internet de se basa en el Protocolo de Pasarela Fronteriza (BGP), un protocolo de enrutamiento dinámico que se utiliza para gestionar cómo se enrutan los paquetes entre los enrutadores de perímetro de Internet. Es relevante para nosotros porque algunas implementaciones de red de Kubernetes utilizan BGP para enrutar el tráfico de red del clúster entre los nodos. Entre cada nodo de redes separadas hay una serie de routers.

Si nos remitimos al mapa de internet de la Figura 1-1, a cada red de internet se le asigna un número de sistema autónomo (ASN) BGP para designar una única entidad administrativa o corporación que representa una política de enrutamiento común y claramente definida en internet. BGP y los ASN permiten a los administradores de red mantener el control del enrutamiento de su red interna a la vez que anuncian y resumen sus rutas en internet. La Tabla 1-5 enumera los ASN disponibles gestionados por IANA y otras entidades regionales.¹

En la Figura 1-16 tenemos cinco ASN, 100-500. Un host en 130.10.1.200 quiere llegar a un host destinado en 150.10.2.300. Una vez que el router local o pasarela por defecto para el host 130.10.1.200 recibe el paquete, buscará la interfaz y la ruta para 150.10.2.300 que BGP ha determinado para esa ruta.

Figura 1-16. Ejemplo de enrutamiento BGP

Según la tabla de enrutamiento de la Figura 1-17, el router para el AS 100 determinó que el paquete pertenece al AS 300, y la ruta preferida es la interfaz de salida 140.10.1.1. Y así sucesivamente en AS 200 hasta que el router local para 150.10.2.300 en AS 300 reciba el paquete. El flujo aquí se describe en la Figura 1-6, que muestra el flujo de datos TCP/IP entre redes. Es necesario un conocimiento básico de BGP porque algunos proyectos de redes de contenedores, como Calico, lo utilizan para el enrutamiento entre nodos ; aprenderás más sobre esto en el Capítulo 3.

Figura 1-17. Tabla de enrutamiento local

La Figura 1-17 muestra una tabla de rutas locales . En la tabla de rutas, podemos ver que la interfaz por la que se enviará un paquete se basa en la dirección IP de destino. Por ejemplo, un paquete destinado a 192.168.1.153 se enviará por la pasarela link#11, que es local a la red, y no necesita enrutamiento. 192.168.1.254 es el enrutador de la red conectado a nuestra conexión a Internet. Si la red de destino es desconocida, se envía por la ruta por defecto.

Los routers se comunican continuamente en Internet, intercambiando información de rutas e informándose mutuamente de los cambios en sus respectivas redes. BGP se encarga de gran parte de ese intercambio de datos , pero los ingenieros de redes y los administradores de sistemas pueden utilizar el protocolo ICMP y las herramientas de línea de comandos ping para comprobar la conectividad entre hosts y routers.

ICMP

ping es una utilidad de red que utiliza ICMP para probar la conectividad entre hosts de la red. En el Ejemplo 1-6, vemos una prueba exitosa de ping a 192.168.1.2, con cinco paquetes que devuelven todos una respuesta eco ICMP.

○ → ping 192.168.1.2 -c 5
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.052 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.089 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.142 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.050 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.050 ms
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.050/0.077/0.142/0.036 ms

El Ejemplo 1-7 muestra un intento fallido de ping que agota el tiempo intentando llegar al host 1.2.3.4. Los routers y los administradores utilizarán ping para probar las conexiones, y también es útil para probar la conectividad de los contenedores. Aprenderás más sobre esto en los Capítulos 2 y 3, cuando implementemos nuestro servidor web Golang mínimo en un contenedor y un pod.

○ → ping 1.2.3.4 -c 4
PING 1.2.3.4 (1.2.3.4): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
--- 1.2.3.4 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Al igual que con TCP y UDP, en los paquetes ICMP hay cabeceras, datos y opciones ; se repasan aquí y se muestran en laFigura 1-18:

Type

Tipo ICMP.

Code

Subtipo ICMP.

Checksum

Suma de comprobación de Internet para la comprobación de errores, calculada a partir de la cabecera ICMP y los datos con valor 0 sustituyen a este campo.

Rest of Header (campo de 4 bytes)

El contenido varía en función del tipo y código ICMP.

Data

Los mensajes de error ICMP contienen una sección de datos que incluye una copia de toda la cabecera IPv4.

Figura 1-18. Cabecera ICMP

El valor identifica los mensajes de control en el campo Type. El campo code proporciona información adicional sobre el contexto del mensaje. Puedes encontrar algunos números de tipo ICMP estándar en la Tabla 1-6.

Ahora que nuestros paquetes saben de qué redes proceden y a cuáles van destinados, es el momento de empezar a enviar físicamente esta solicitud de datos a través de la red; esto es responsabilidad de la capa de Enlace.