需要运行一些安全性存疑的软件和服务, 希望能够在本地受限网络中运行
具体功能类似于阿里云的网络安全组, 可以 禁止 /允许 网络出入的 源 /目的地址和端口
当前我调研的方案如下:
求教大佬有没有更好的方案?
1
defunct9 2022-11-27 12:38:57 +08:00
1
docker 本身就离不开 iptables 。有啥不好控制得。 |
2
geekvcn 2022-11-27 13:30:04 +08:00 via Android
proxmox ve
|
3
cybertruck 2022-11-27 13:59:07 +08:00 1
k8s + calico
|
4
salmon5 2022-11-27 14:14:29 +08:00 2
k8s+calico/cilium
|
5
9of6 OP @defunct9 主要是我自己实验中发现, 禁止 docker 修改 iptables 后 docker 的同 bridge 内容器 A 和 B 间的通讯不经过主机的转发, 所以此时主机上的 iptables 转发规则无法控制容器 A 和 B 间的通讯
|
6
9of6 OP |
7
xyjincan 2022-11-27 16:41:42 +08:00 via Android
CentOS Stream 9 网络防火墙功能挺先进的
|
8
Senorsen 2022-11-27 17:01:10 +08:00
同 ls 们,用 Kubernetes + calico ,NetworkPolicy 可以满足很多需求了,包括与集群内部命名空间 Pod 、外部( IP CIDR )分别的入站、出站规则
|