来自twt社区同行交流,欢迎更多同行参与交流
容器云平台内部集群的网络隔离问题?
容器云平台主要分集群控制平面、管理平面和业务pod平面,各平面之间有无用防火墙隔离?各安全区域之间的不同集群用防火墙隔离,那么在同一个安全区域内的多个集群之间、单个集群内部的多种业务pod之间怎么做安全隔离?如需隔离一般依据什么原则?采用硬件防火墙隔离还是network-policy等等?
@qingkong2022 光大科技 容器云运维
不同安全区域内使用防火墙隔离,遵照企业的主机网络隔离策略,开通需要业务访问的端口;
同一安全区域内多个集群之间没有安全隔离;
单个集群内部使用namespace和NetworkPolicy隔离。
@rechen 招商银行 云计算架构师
1.容器云平台的建设,通常是采用分层模式规划设计的。
——面向应用的管理平面,是统一的一个,实际在生产环境、开发测试环境是单独且不同的二个管理平台。
——容器云平台是需要纳管多个K8S集群,也就是一个管理平台对应有多个K8S集群控制平面。不同的K8S集群视其部署的网络分区所在,网络分区之间会有防火墙。也即管理平面和K8S 集群控制平面中间是有防火墙。
——业务POD平面 容器云平台是集中管控模式下,业务应用系统通常是以命名空间进行隔离的。也即一个业务POD平面,逻辑上是由多个K8S集群中的多个命名空间组成的。所以视K8S集群部署所在的网络分区不同,业务POD平面中也有防火墙。
2.同一个安全区域内的多个集群之间的安全隔离性,需要看各个单位的IAAS、基础网络的情况而定。譬如K8S集群只使用传统的Underlay网络,在同一网络分区( 可称同一安全区域 ,集群之间是不加防火墙。另外譬如在overlay网络的VPC环境中,根据管控半径 K8S用户群隔离的要求的话,不同K8S集群部署在不同的VPC中,则集群之间就有VPC的安全隔离性了。
3. 硬件防火墙隔离,通常用在容器云平台的管理平面和在不同的网络分区间的集群控制平面之间的访问。而启用network-policy 指的是在一个K8S集群中, 实现业务pod平面的安全隔离性。
@twt352
单个集群内部的多种业务pod之间目前从原生k8s来看还没有比较好的方式,而且与使用的网络插件有关,这块我们的思路是看一些新兴的安全厂商在这块的一些解决方案。有一些从技术原理上看还不错。
您怎么看?
欢迎来探讨
欢迎点击 到原帖发表观点 觉得本文有用,请转发、点赞 点击在看,让更多同行看到
/文章推荐
容器学习 容器云平台的集群高可用安装部署及配置
容器云平台物理集群配置实践
欢迎关注社区 “容器云”技术主题 ,将会不断更新优质 、文章。地址 https://www..com/Topic/98447
长按二维码关注
*本 所发布内容仅代表作者观点,不代表社区立场;封面图片由版权图库授权使用
Powered by 小羊羔外链网 8.3.11
©2015 - 2024 小羊羔外链网
您的IP:3.141.244.201,2024-04-18 23:28:28,Processed in 0.05328 second(s).
