金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,如何考虑网络安全、隔离?

金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,请问如何考虑网络安全、隔离、和通用。

参与20

3同行回答

HugoXiaoHugoXiao  业务咨询顾问 , 博云
借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。SDN思路,基于2层网络方案,集群内外网络打通,实现容器重启IP地...显示全部
  1. 借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。
  2. SDN思路,基于2层网络方案,集群内外网络打通,实现容器重启IP地址不变,指定IP地址发布服务,控制平面数据平面分离,网络隔离等
收起
IT咨询服务 · 2019-06-24
浏览2240
dean25dean25  软件架构设计师 , 民生银行
金融机构通常会在内部网络划分很多网络隔离区,隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求,比如一个容器集群只部署在一个网络隔离区内,不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下,容器网络安全最大的挑战之一是出方向的访问关系无...显示全部

金融机构通常会在内部网络划分很多网络隔离区,隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求,比如一个容器集群只部署在一个网络隔离区内,不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下,容器网络安全最大的挑战之一是出方向的访问关系无法细粒度控制。比如两个应用容器共用一个宿主机做计算节点,两个应用本来有各自的独立的出访问关系,在硬件防火墙控制。但是由于共用宿主机,出去的源IP就是一样的,对于硬件防火墙就无法做有效区分了。这时候可能需要和网络、安全达成一些协议,根据应用分组来开出访问关系,并做出一些限制。即使使用calico这样的underlay网络模型,因为容器IP地址会变化,传统的基于源地址不变的访问关系控制方式也会不可用。终极的解决方法是围绕容器打造一套网络体系,还需要支持跨集群的访问控制,目前看还没有这方面的成熟产品。

收起
银行 · 2019-06-20
浏览2404
yaoyaozdlyaoyaozdl  系统工程师 , 汽车行业
1.Docker本省可通过iptabls设定规则(一般采用最小权限原则)实现禁止或允许容器之间的通信。2.应用之间可以通过VLAN实现应用间隔离显示全部

1.Docker本省可通过iptabls设定规则(一般采用最小权限原则)实现禁止或允许容器之间的通信。
2.应用之间可以通过VLAN实现应用间隔离

收起
汽车 · 2019-06-20
浏览2186

提问者

zhuyuhua
软件架构设计师华为

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2019-06-20
  • 关注会员:4 人
  • 问题浏览:3924
  • 最近回答:2019-06-24
  • X社区推广