寻找支持网络 ACL 的容器/虚拟化方案

2022-11-27 11:30:53 +08:00
 9of6

需要运行一些安全性存疑的软件和服务, 希望能够在本地受限网络中运行

具体功能类似于阿里云的网络安全组, 可以 禁止 /允许 网络出入的 源 /目的地址和端口

当前我调研的方案如下:

  1. docker+手写 iptables+指定容器 ip 地址, 缺点是同 bridge 内无法控制网络, 而且手写规则比较麻烦
  2. vmware 的 vSphere pod, 各种隔离性都拉满, 缺点是感觉方案太重了, 为了一个小需求上这么大的方案
  3. lxd, 看文档支持网络 ACL, 但感觉用的人不多比较小众

求教大佬有没有更好的方案?

2013 次点击
所在节点    信息安全
8 条回复
defunct9
2022-11-27 12:38:57 +08:00
1
docker 本身就离不开 iptables 。有啥不好控制得。
geekvcn
2022-11-27 13:30:04 +08:00
proxmox ve
cybertruck
2022-11-27 13:59:07 +08:00
k8s + calico
salmon5
2022-11-27 14:14:29 +08:00
k8s+calico/cilium
9of6
2022-11-27 16:25:06 +08:00
@defunct9 主要是我自己实验中发现, 禁止 docker 修改 iptables 后 docker 的同 bridge 内容器 A 和 B 间的通讯不经过主机的转发, 所以此时主机上的 iptables 转发规则无法控制容器 A 和 B 间的通讯
9of6
2022-11-27 16:26:43 +08:00
@salmon5
@cybertruck

k8s 中的相关工具丰富多了, 应当就用这类了
xyjincan
2022-11-27 16:41:42 +08:00
CentOS Stream 9 网络防火墙功能挺先进的
Senorsen
2022-11-27 17:01:10 +08:00
同 ls 们,用 Kubernetes + calico ,NetworkPolicy 可以满足很多需求了,包括与集群内部命名空间 Pod 、外部( IP CIDR )分别的入站、出站规则

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/898228

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX