Freigeben über

Netzwerkisolation und Sicherheit

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Isolation mit Netzwerk-Namespaces

Jeder Containerendpunkt wird in einem eigenen Netzwerknamespaceplatziert. Der Virtuelle Netzwerkadapter und der Hostnetzwerkstapel des Verwaltungshosts befinden sich im Standardnetzwerknamespace. Um die Netzwerkisolation zwischen Containern auf demselben Host zu erzwingen, wird für jeden Windows Server-Container ein Netzwerknamespace erstellt und die Container werden unter Hyper-V-Isolierung ausgeführt, in dem der Netzwerkadapter für den Container installiert ist. Windows Server-Container verwenden einen host-virtuellen Netzwerkadapter, um an den virtuellen Switch anzuschließen. Hyper-V Isolation verwendet einen synthetischen VM-Netzwerkadapter, der nicht für die Utility-VM zugänglich ist, um an den virtuellen Switch anzuschließen.

Hyper-V-Isolation mit einem synthetischen VM-Netzwerkadapter

Führen Sie das folgende PowerShell-Cmdlet aus, um alle Netzwerkfächer im Protokollstapel abzurufen:

Get-NetCompartment

Netzwerksicherheit

Je nachdem, welcher Container- und Netzwerktreiber verwendet wird, werden Port-ACLs durch eine Kombination aus der Windows-Firewall und azure Virtual Filtering Platform (VFP)erzwungen.

Windows Server-Container

Die folgenden Werte nutzen die Firewall der Windows-Hosts (durch Netzwerknamespaces erweitert) sowie VFP:

  • Standardausgang: GESAMTEN DATENVERKEHR ZULASSEN
  • Standardeingang: GESAMTEN DATENVERKEHR ZULASSEN (TCP, UDP, ICMP, IGMP), auch nicht angeforderten Netzwerkdatenverkehr
    • ALLE anderen Netzwerkdatenverkehre verweigern, die nicht von diesen Protokollen stammen

Anmerkung

Vor Windows Server Version 1709 und Windows 10 Fall Creators Update war die Standardregel für eingehenden Datenverkehr „Gesamten Datenverkehr verweigern“. Benutzer, die diese älteren Versionen ausführen, können eingehende ALLOW-Regeln mit docker run -p (Portweiterleitung) erstellen.

Hyper-V-Isolation

Container, die in Hyper-V Isolation ausgeführt werden, verfügen über einen eigenen isolierten Kernel und führen daher eine eigene Instanz der Windows-Firewall mit der folgenden Konfiguration aus:

  • Standardeinstellung GESAMTEN DATENVERKEHR ZULASSEN für Windows-Firewall (auf Hilfs-VM ausgeführte Firewall) und VFP.

Hyper-V-Isolation mit Firewall

Kubernetes-Pods

In einem Kubernetes-Podwird zunächst ein Infrastrukturcontainer erstellt, an den ein Endpunkt angefügt ist. Container, die zum gleichen Pod gehören, einschließlich Infrastruktur- und Arbeitscontainern, teilen einen gemeinsamen Netzwerknamespace (z. B. denselben IP- und Portraum).

Kubernetes-Pods-Netzwerk

Anpassen von Standardport-ACLs

Wenn Sie die Standardport-ACLs ändern möchten, lesen Sie das Thema Hostnetzwerkdienst, bevor Sie die Ports ändern. Sie müssen Richtlinien innerhalb der folgenden Komponenten aktualisieren:

Anmerkung

Für Hyper-V Isolation im transparenten und NAT-Modus können Sie derzeit die Standardport-ACLs, die von einem "X" in der folgenden Tabelle widerspiegelt werden, nicht neu konfigurieren:

Netzwerktreiber Windows Server-Container Hyper-V-Isolation
Durchsichtig Windows-Firewall X
NAT Windows-Firewall X
L2Bridge Beide VFP
L2Tunnel Beide VFP
Überlagerung Beide VFP