Поделиться через

Сетевая изоляция и безопасность

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Изоляция с сетевыми пространствами имен

Каждая конечная точка контейнера помещается в собственное сетевое пространство имен. Адаптер виртуальной сети управляющего узла и сетевой стек хоста расположены в пространстве имен по умолчанию. Для обеспечения принудительной сетевой изоляции между контейнерами на одном узле создается сетевое пространство имен для каждого контейнера Windows Server, работающего в изоляции Hyper-V, в которое устанавливается сетевой адаптер для контейнера. Контейнеры Windows Server используют адаптер виртуальной сети узла для подключения к виртуальному коммутатору. Изоляция Hyper-V использует синтетический сетевой адаптер виртуальной машины (не доступен для вспомогательной виртуальной машины), чтобы подключиться к виртуальному коммутатору.

Hyper-V изоляция с использованием синтетического виртуального сетевого адаптера

Выполните следующий командлет PowerShell, чтобы получить все сетевые секции в стеке протоколов:

Get-NetCompartment

Безопасность сети

В зависимости от используемого контейнера и сетевого драйвера списки управления доступом портов применяются сочетанием брандмауэра Windows и платформы виртуальной фильтрации Azure (VFP).

Контейнеры Windows Server

Следующие значения используют файрвол узлов на базе Windows (в сочетании с сетевыми пространствами имён), а также VFP:

  • Исходящий трафик по умолчанию: РАЗРЕШИТЬ ВСЁ
  • Входящий трафик по умолчанию: ALLOW ALL (TCP, UDP, ICMP, IGMP) не запрошенный сетевой трафик
    • ЗАПРЕТИТЬ ВЕСЬ другой сетевой трафик не из этих протоколов

Заметка

До версии 1709 Windows Server и Windows 10 Fall Creators Update правило входящего трафика по умолчанию было "отклонить всё". Пользователи, работающие на этих старых версиях, могут создавать правила РАЗРЕШИТЬ для входящих соединений с docker run -p (перенаправление портов).

Hyper-V изоляция

Контейнеры, работающие в Hyper-V изоляции, имеют собственное изолированное ядро, поэтому запустите собственный экземпляр брандмауэра Windows со следующей конфигурацией:

  • По умолчанию ALLOW ALL в брандмауэре Windows (на виртуальной машине служебной программы) и VFP.

Hyper-V изолирование с помощью брандмауэра

Kubernetes pods

В pod Kubernetesсначала создается контейнер инфраструктуры, к которому подключена конечная точка. Контейнеры, принадлежащие одному pod, включая инфраструктурные и рабочие контейнеры, совместно используют общее сетевое пространство имён (например, одно и то же пространство IP-адресов и портов).

сетевое взаимодействие pod-ов Kubernetes

Настройка списков ACL портов по умолчанию

Если вы хотите изменить списки управления доступом портов по умолчанию, ознакомьтесь с разделом Сетевые службы узла перед изменением портов. Вам потребуется обновить политики в следующих компонентах:

Заметка

Для изоляции Hyper-V в прозрачном и NAT режимах в настоящее время невозможно перенастроить списки ACL портов по умолчанию, что отражается буквой «X» в таблице ниже.

Сетевой драйвер Контейнеры Windows Server изоляция Hyper-V
Прозрачный Брандмауэр Windows X
NAT Брандмауэр Windows X
L2Bridge Оба VFP
L2Tunnel Оба VFP
Наложение Оба VFP