金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,如何考虑网络安全、隔离?

金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,请问如何考虑网络安全、隔离、和通用。显示全部

金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,请问如何考虑网络安全、隔离、和通用。

收起
参与20

查看其它 2 个回答dean25的回答

dean25dean25  软件架构设计师 , 民生银行

金融机构通常会在内部网络划分很多网络隔离区,隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求,比如一个容器集群只部署在一个网络隔离区内,不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下,容器网络安全最大的挑战之一是出方向的访问关系无法细粒度控制。比如两个应用容器共用一个宿主机做计算节点,两个应用本来有各自的独立的出访问关系,在硬件防火墙控制。但是由于共用宿主机,出去的源IP就是一样的,对于硬件防火墙就无法做有效区分了。这时候可能需要和网络、安全达成一些协议,根据应用分组来开出访问关系,并做出一些限制。即使使用calico这样的underlay网络模型,因为容器IP地址会变化,传统的基于源地址不变的访问关系控制方式也会不可用。终极的解决方法是围绕容器打造一套网络体系,还需要支持跨集群的访问控制,目前看还没有这方面的成熟产品。

银行 · 2019-06-20
浏览2403

回答者

dean25
软件架构设计师民生银行
擅长领域: 云计算容器容器云

dean25 最近回答过的问题

回答状态

  • 发布时间:2019-06-20
  • 关注会员:4 人
  • 回答浏览:2403
  • X社区推广