k8s使用calico网络模式,如何处理容器云中业务容器需要跨网络区域开通防火墙策略的问题?

在一些金融行业中,根据监管的要求,各个网络区域之间有防火墙隔离,如果有跨网络区域访问需求,按照传统的虚拟机环境,则需要提供源地址,目的地址和端口开通网络策略才行。
但是在calico中,业务容器的IP本身默认不固定,这样就无法开通网络策略,目前能想到的解决方案是将需要开通防火墙策略的容器声明annotations,配置cni.projectcalico.org/ipAddrs 来固定容器的IP,然后再根据这个固定IP去开通网络策略,但是如果容器IP固定了,则k8s集群的一些特性就不能很好的支持,比如弹性扩缩等。另外随着集群越做越大,固定IP的容器也是越来越多,对于固定IP的管理维护也是一个问题。
想问一下针对这样的情况,有没有一个比较好的解决方案或者解决管理思路?

2回答

Steven99Steven99  软件架构设计师 , steven
zhuhaiqiang赞同了此回答
calico网络是3层虚拟网络,其ip地址是不能在容器网络外直接访问的,所以跟公司的网络防火墙应该是没关系的 每个k8s集群都可以通过node:port或ingress或外部负载均衡器 进行访问, 这些ip/port是固定的,可以使用这些地址配置访问策略...显示全部

calico网络是3层虚拟网络,其ip地址是不能在容器网络外直接访问的,所以跟公司的网络防火墙应该是没关系的

每个k8s集群都可以通过node:port或ingress或外部负载均衡器 进行访问, 这些ip/port是固定的,可以使用这些地址配置访问策略

收起
 2020-09-28
浏览290
xiaoping378xiaoping378  系统架构师 , 光大科技有限公司
两种玩法, 让网络部门的策略覆盖到calico规则,外部服务用k8s的externalIPs来指定,很明显短期不现实,目前也缺少这类的商业产品,需要网络部自己定制开发。 通过nodeSlector标签,缩小pod飘逸范围,申请网络策略时,审批小量的IP段。此方法算是折中的办法吧,短中期使用推荐此办法。 ...显示全部

两种玩法,

  • 让网络部门的策略覆盖到calico规则,外部服务用k8s的externalIPs来指定,很明显短期不现实,目前也缺少这类的商业产品,需要网络部自己定制开发。
  • 通过nodeSlector标签,缩小pod飘逸范围,申请网络策略时,审批小量的IP段。此方法算是折中的办法吧,短中期使用推荐此办法。
收起
 6天前
浏览110

容器云管理平台选型优先顺序调查

发表您的选型观点,参与即得50金币。

问题状态

  • 发布时间:2020-09-28
  • 关注会员:3 人
  • 问题浏览:804
  • 最近回答:6天前