Isolamento e segurança da rede
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Isolamento com namespaces de rede
Cada ponto de extremidade de contêiner é colocado em seu próprio namespace de rede . O adaptador de rede virtual do host de gerenciamento e a pilha de rede do host estão localizados no namespace de rede padrão. Para impor o isolamento de rede entre contentores no mesmo host, é criado um namespace de rede para cada contentor do Windows Server, e os contentores são executados sob isolamento Hyper-V, no qual o adaptador de rede para o contentor é instalado. Os contêineres do Windows Server usam um adaptador de rede virtual de host para se conectar ao comutador virtual. O isolamento do Hyper-V utiliza um adaptador de rede VM sintético (não exposto à VM utilitário) para ligação ao comutador virtual.
Execute o seguinte cmdlet do Powershell para obter todos os compartimentos de rede na pilha de protocolo:
Get-NetCompartment
Segurança da rede
Dependendo do contêiner e do driver de rede usados, as ACLs de porta são impostas por uma combinação do Firewall do Windows e do Azure Virtual Filtering Platform (VFP).
Contêineres do Windows Server
Os valores seguintes utilizam o firewall dos hosts Windows, melhorado com namespaces de rede, bem como o VFP:
- Saída padrão: PERMITIR TUDO
- Entrada padrão: PERMITIR TODO (TCP, UDP, ICMP, IGMP) tráfego de rede não solicitado
- NEGAR TODO o outro tráfego de rede que não seja destes protocolos
Observação
Antes da versão 1709 do Windows Server e do Windows 10 Fall Creators Update, a regra de entrada padrão era RECUSAR tudo. Os usuários que executam essas versões mais antigas podem criar regras ALLOW de entrada com docker run -p (encaminhamento de porta).
Hyper-V isolamento
Os contêineres executados em Hyper-V isolamento têm seu próprio kernel isolado e, portanto, executam sua própria instância do Firewall do Windows com a seguinte configuração:
- Padrão PERMITIR TUDO no Firewall do Windows (em execução na VM do utilitário) e no VFP.
Cápsulas do Kubernetes
Em um pod do Kubernetes , é criado primeiro um contentor de infraestruturaa que um ponto de extremidade é anexado. Os contêineres que pertencem ao mesmo pod, incluindo contêineres de infraestrutura e de trabalho, compartilham um namespace de rede comum (como o mesmo IP e espaço de porta).
de rede de pods do Kubernetes
Personalizando ACLs de porta padrão
Se você quiser modificar as ACLs de porta padrão, revise o tópico Host Networking Service antes de alterar as portas. Você precisará atualizar as políticas dentro dos seguintes componentes:
Observação
Para a isolação de Hyper-V nos modos Transparente e NAT, não é possível, atualmente, reconfigurar as ACLs padrão de porta, o que é refletido por um "X" na tabela abaixo.
| Controlador de rede | Contêineres do Windows Server | Hyper-V isolamento |
|---|---|---|
| Transparente | Windows Firewall | X |
| NAT | Windows Firewall | X |
| L2Bridge [en] | Ambos | VFP |
| Túnel L2 | Ambos | VFP |
| Sobreposição | Ambos | FPV |