这是一个创建于 726 天前的主题,其中的信息可能已经有所发展或是发生改变。
需要运行一些安全性存疑的软件和服务, 希望能够在本地受限网络中运行
具体功能类似于阿里云的网络安全组, 可以 禁止 /允许 网络出入的 源 /目的地址和端口
当前我调研的方案如下:
- docker+手写 iptables+指定容器 ip 地址, 缺点是同 bridge 内无法控制网络, 而且手写规则比较麻烦
- vmware 的 vSphere pod, 各种隔离性都拉满, 缺点是感觉方案太重了, 为了一个小需求上这么大的方案
- lxd, 看文档支持网络 ACL, 但感觉用的人不多比较小众
求教大佬有没有更好的方案?
 |
1
defunct9 2022-11-27 12:38:57 +08:00
1
docker 本身就离不开 iptables 。有啥不好控制得。 |
 |
2
geekvcn 2022-11-27 13:30:04 +08:00 via Android
proxmox ve
|
 |
3
cybertruck 2022-11-27 13:59:07 +08:00  1
k8s + calico
|
 |
4
salmon5 2022-11-27 14:14:29 +08:00 2
k8s+calico/cilium
|
 |
5
9of6 OP @defunct9 主要是我自己实验中发现, 禁止 docker 修改 iptables 后 docker 的同 bridge 内容器 A 和 B 间的通讯不经过主机的转发, 所以此时主机上的 iptables 转发规则无法控制容器 A 和 B 间的通讯
|
|
6
9of6 OP |
 |
7
xyjincan 2022-11-27 16:41:42 +08:00 via Android
CentOS Stream 9 网络防火墙功能挺先进的
|
 |
8
Senorsen 2022-11-27 17:01:10 +08:00
同 ls 们,用 Kubernetes + calico ,NetworkPolicy 可以满足很多需求了,包括与集群内部命名空间 Pod 、外部( IP CIDR )分别的入站、出站规则
|
Select Language