在一些金融行业中,根据监管的要求,各个网络区域之间有防火墙隔离,如果有跨网络区域访问需求,按照传统的虚拟机环境,则需要提供源地址,目的地址和端口开通网络策略才行。
但是在calico中,业务容器的IP本身默认不固定,这样就无法开通网络策略,目前能想到的解决方案是将需要开通防火墙策略的容器声明annotations,配置cni.projectcalico.org/ipAddrs 来固定容器的IP,然后再根据这个固定IP去开通网络策略,但是如果容器IP固定了,则k8s集群的一些特性就不能很好的支持,比如弹性扩缩等。另外随着集群越做越大,固定IP的容器也是越来越多,对于固定IP的管理维护也是一个问题。
想问一下针对这样的情况,有没有一个比较好的解决方案或者解决管理思路?
calico网络是3层虚拟网络,其ip地址是不能在容器网络外直接访问的,所以跟公司的网络防火墙应该是没关系的
每个k8s集群都可以通过node:port或ingress或外部负载均衡器 进行访问, 这些ip/port是固定的,可以使用这些地址配置访问策略
收起