在一些金融行业中,根据监管的要求,各个网络区域之间有防火墙隔离,如果有跨网络区域访问需求,按照传统的虚拟机环境,则需要提供源地址,目的地址和端口开通网络策略才行。
但是在calico中,业务容器的IP本身默认不固定,这样就无法开通网络策略,目前能想到的解决方案是将需要开通防火墙策略的容器声明annotations,配置cni.projectcalico.org/ipAddrs 来固定容器的IP,然后再根据这个固定IP去开通网络策略,但是如果容器IP固定了,则k8s集群的一些特性就不能很好的支持,比如弹性扩缩等。另外随着集群越做越大,固定IP的容器也是越来越多,对于固定IP的管理维护也是一个问题。
想问一下针对这样的情况,有没有一个比较好的解决方案或者解决管理思路?
收起