金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,如何考虑网络安全、隔离?

金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,请问如何考虑网络安全、隔离、和通用。

3回答

dean25dean25  软件架构设计师 , 民生银行
大天使之剑yinxin赞同了此回答
金融机构通常会在内部网络划分很多网络隔离区,隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求,比如一个容器集群只部署在一个网络隔离区内,不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下,容器网络安全最大的挑战之一是出方向的访问关系无...显示全部

金融机构通常会在内部网络划分很多网络隔离区,隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求,比如一个容器集群只部署在一个网络隔离区内,不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下,容器网络安全最大的挑战之一是出方向的访问关系无法细粒度控制。比如两个应用容器共用一个宿主机做计算节点,两个应用本来有各自的独立的出访问关系,在硬件防火墙控制。但是由于共用宿主机,出去的源IP就是一样的,对于硬件防火墙就无法做有效区分了。这时候可能需要和网络、安全达成一些协议,根据应用分组来开出访问关系,并做出一些限制。即使使用calico这样的underlay网络模型,因为容器IP地址会变化,传统的基于源地址不变的访问关系控制方式也会不可用。终极的解决方法是围绕容器打造一套网络体系,还需要支持跨集群的访问控制,目前看还没有这方面的成熟产品。

收起
 2019-06-20
借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。 SDN思路,基于2层网络方案,集群内外网络打通,实现容器重...显示全部
  1. 借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。

  2. SDN思路,基于2层网络方案,集群内外网络打通,实现容器重启IP地址不变,指定IP地址发布服务,控制平面数据平面分离,网络隔离等

收起
 2019-06-24
浏览235
yaoyaozdlyaoyaozdl  系统工程师 , 汽车行业
yinxin赞同了此回答
1.Docker本省可通过iptabls设定规则(一般采用最小权限原则)实现禁止或允许容器之间的通信。2.应用之间可以通过VLAN实现应用间隔离显示全部

1.Docker本省可通过iptabls设定规则(一般采用最小权限原则)实现禁止或允许容器之间的通信。
2.应用之间可以通过VLAN实现应用间隔离

收起
 2019-06-20
浏览252

提问者

zhuyuhua软件架构设计师, 华为

问题状态

  • 发布时间:2019-06-20
  • 关注会员:4 人
  • 问题浏览:1064
  • 最近回答:2019-06-24
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30