Udostępnij za pośrednictwem

Izolacja sieciowa i zabezpieczenia

  • Artykuł

Dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016

Izolacja za pomocą przestrzeni nazw sieciowych

Każdy punkt końcowy kontenera jest umieszczany we własnym przestrzeni nazw sieciowych. Wirtualna karta sieciowa zarządzania hostem i stos sieciowy hosta znajdują się w domyślnej przestrzeni nazw sieci. Aby wymusić izolację sieci między kontenerami na tym samym hoście, przestrzeń nazw sieci jest tworzona dla każdego kontenera Windows Server, a kontenery są uruchamiane w izolacji Hyper-V, do której jest zainstalowany adapter sieciowy dla kontenera. Kontenery systemu Windows Server używają wirtualnej karty sieciowej hosta, aby połączyć się z przełącznikiem wirtualnym. Izolacja Hyper-V używa syntetycznej karty sieciowej maszyny wirtualnej (niewidocznej dla maszyny użytkowej) do podłączenia do przełącznika wirtualnego.

Hyper-V izolacja z użyciem syntetycznej karty sieciowej maszyny wirtualnej

Uruchom następujące polecenie cmdlet PowerShell, aby pobrać wszystkie kompartmenty sieciowe w stosie protokołu.

Get-NetCompartment

Zabezpieczenia sieci

W zależności od używanego kontenera i sterownika sieciowego listy ACL portów są wymuszane przez kombinację zapory systemu Windows i azure Virtual Filtering Platform (VFP).

Kontenery systemu Windows Server

Poniższe wartości używają zapory ogniowej hostów systemu Windows (z obsługą przestrzeni nazw sieciowych), jak również programu VFP.

  • Domyślne połączenia wychodzące: Zezwalaj na wszystko
  • Domyślny ruch przychodzący: Zezwalaj na wszystkie (TCP, UDP, ICMP, IGMP) niezapytane połączenia sieciowe
    • ODMÓW ruchu sieciowego innego niż z tych protokołów

Notatka

Przed aktualizacją do Windows Server w wersji 1709 i Windows 10 Fall Creators Update domyślną regułą ruchu przychodzącego było ODMÓW wszystko. Użytkownicy korzystający z tych starszych wersji mogą tworzyć reguły zezwalania na ruch przychodzący z docker run -p (przekazywanie portów).

izolacja Hyper-V

Kontenery działające w izolacji Hyper-V mają własne izolowane jądro i dlatego uruchamiają własny egzemplarz Zapory systemu Windows z następującą konfiguracją:

  • Domyślne ZEZWALAJ NA WSZYSTKO w zaporze systemu Windows (uruchomionej na maszynie wirtualnej pomocniczej) i VFP.

izolacja Hyper-V z zaporą ogniową

Zasobniki kubernetes

W podzie Kubernetesnajpierw tworzony jest kontener infrastruktury, do którego dołączany jest punkt końcowy. Kontenery należące do tego samego zasobnika, w tym kontenery infrastruktury i procesów roboczych, współdzielą wspólną przestrzeń nazw sieci (na przykład ten sam adres IP i miejsce na portach).

sieci podów Kubernetes

Konfigurowanie domyślnych list ACL dla portów

Jeśli chcesz zmodyfikować domyślne listy ACL portów, przed zmianą portów zapoznaj się z tematem Host Networking Service. Należy zaktualizować zasady wewnątrz następujących składników:

Notatka

W przypadku izolacji Hyper-V w trybie przezroczystym i NAT nie można obecnie ponownie skonfigurować domyślnych list ACL portów, co jest przedstawione jako "X" w poniższej tabeli.

Sterownik sieciowy Kontenery systemu Windows Server Hyper-V izolacja
Przejrzysty Zapora systemu Windows X
NAT (Translacja adresów sieciowych) Zapora systemu Windows X
L2Bridge Obydwa VFP
L2Tunnel Oboje VFP
Nakładka Oba VFP