集群模式下的网络访问控制
与通过OpenStack建立的虚拟化集群通过VLAN对不同租户进行子网隔离不同,基于Overlay网络的容器集群在同一主机内相同子网中的不同容器之间默认可以直接访问 。
如需控制宿主机外部到内部容器应用的访问,可通过在宿主机iptables中的DOCKER-INGRESS链手动添加ACL访问控制规则以控制宿主机的eth0到容器的访问,或者在宿主机外部部署防火墙等方法实现 。
然而,在大型的容器云环境中,由于存在频繁的微服务动态变化更新,通过手动的方式配置iptables或更新防火墙是不现实的 。因此,可通过微分段(Micro-Segmentation)实现面向容器云环境中的容器防火墙 。微分段是一种细粒度的网络分段隔离机制,与传统的以网络地址为基本单位的网络分段机制不同,微分段可以以单个容器、同网段容器、容器应用为粒度实现分段隔离,并通过容器防火墙对实现微分段间的网络访问控制 。
总结
与虚拟化技术相比,Docker容器技术具有敏捷化、轻量化等特点,在推进云原生应用方面具有不可替代性 。与此同时,容器技术对于高效性的追求也牺牲了隔离性等安全要求,在安全性方面与虚拟化技术相比还存在较大差距,且所涉及的面较广,涉及到容器的镜像安全、内核安全、网络安全、虚拟化安全、运行时安全等各个层面 。
在应用容器技术进行系统部署时,应充分评估安全风险,根据应用场景制定相应安全需求,并整合相关安全解决方案,形成容器安全应用最佳实践 。
文章来源:FreeBuf.COM 。
推荐阅读
- Linux安装Docker
- 如何修改docker容器存储位置
- Docker+K8S 集群环境搭建及分布式应用部署
- docker宿主调用容器内命令
- docker和容器的区别
- 使用Docker搭建Redis-cluster环境
- Linux容器技术原理和使用
- 两款Docker可视化工具介绍
- docker中容器如何实现通信
- 提升 MongoDB 安全性的 10 个方法