k8s使用calico网络模式,如何处理容器云中业务容器需要跨网络区域开通防火墙策略的问题?
在一些金融行业中,根据监管的要求,各个网络区域之间有防火墙隔离,如果有跨网络区域访问需求,按照传统的虚拟机环境,则需要提供源地址,目的地址和端口开通网络策略才行。
但是在calico中,业务容器的IP本身默认不固定,这样就无法开通网络策略,目前能想到的解决方案是将需要开通防火墙策略的容器声明annotations,配置cni.projectcalico.org/ipAddrs 来固定容器的IP,然后再根据这个固定IP去开通网络策略,但是如果容器IP固定了,则k8s集群的一些特性就不能很好的支持,比如弹性扩缩等。另外随着集群越做越大,固定IP的容器也是越来越多,对于固定IP的管理维护也是一个问题。
想问一下针对这样的情况,有没有一个比较好的解决方案或者解决管理思路?2同行回答
两种玩法,
- 让网络部门的策略覆盖到calico规则,外部服务用k8s的externalIPs来指定,很明显短期不现实,目前也缺少这类的商业产品,需要网络部自己定制开发。
- 通过nodeSlector标签,缩小pod飘逸范围,申请网络策略时,审批小量的IP段。此方法算是折中的办法吧,短中期使用推荐此办法。
浏览2239