Home Sign Up Sign In
9of6

寻找支持网络 ACL 的容器/虚拟化方案

  •  1      
  •   9of6 · Nov 27, 2022 · 2931 views
    This topic created in 1289 days ago, the information mentioned may be changed or developed.

    需要运行一些安全性存疑的软件和服务, 希望能够在本地受限网络中运行

    具体功能类似于阿里云的网络安全组, 可以 禁止 /允许 网络出入的 源 /目的地址和端口

    当前我调研的方案如下:

    1. docker+手写 iptables+指定容器 ip 地址, 缺点是同 bridge 内无法控制网络, 而且手写规则比较麻烦
    2. vmware 的 vSphere pod, 各种隔离性都拉满, 缺点是感觉方案太重了, 为了一个小需求上这么大的方案
    3. lxd, 看文档支持网络 ACL, 但感觉用的人不多比较小众

    求教大佬有没有更好的方案?

  • ACL
  • 方案
  • 容器
  • 手写
    8 replies    2022-11-27 17:01:10 +08:00
    defunct9
        1
    defunct9  
       Nov 27, 2022
    1
    docker 本身就离不开 iptables 。有啥不好控制得。
    geekvcn
        2
    geekvcn  
       Nov 27, 2022 via Android
    proxmox ve
    cybertruck
        3
    cybertruck  
       Nov 27, 2022   ❤️ 1
    k8s + calico
    salmon5
        4
    salmon5  
       Nov 27, 2022   ❤️ 2
    k8s+calico/cilium
    9of6
        5
    9of6  
    OP
       Nov 27, 2022
    @defunct9 主要是我自己实验中发现, 禁止 docker 修改 iptables 后 docker 的同 bridge 内容器 A 和 B 间的通讯不经过主机的转发, 所以此时主机上的 iptables 转发规则无法控制容器 A 和 B 间的通讯
    9of6
        6
    9of6  
    OP
       Nov 27, 2022
    @salmon5
    @cybertruck

    k8s 中的相关工具丰富多了, 应当就用这类了
    xyjincan
        7
    xyjincan  
       Nov 27, 2022 via Android
    CentOS Stream 9 网络防火墙功能挺先进的
    Senorsen
        8
    Senorsen  
       Nov 27, 2022
    同 ls 们,用 Kubernetes + calico ,NetworkPolicy 可以满足很多需求了,包括与集群内部命名空间 Pod 、外部( IP CIDR )分别的入站、出站规则
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5254 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 75ms · UTC 01:11 · PVG 09:11 · LAX 18:11 · JFK 21:11
    ♥ Do have faith in what you're doing.