Aislamiento y seguridad de red
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Aislamiento con espacios de nombres de red
Cada punto de conexión de contenedor se coloca en su propio espacio de nombres de red. El adaptador de red virtual del host de administración y la pila de red host se encuentran en el espacio de nombres de red predeterminado. Para aplicar el aislamiento de red entre contenedores en el mismo host, se crea un espacio de nombres de red para cada contenedor de Windows Server y los contenedores se ejecutan en aislamiento de Hyper-V en el que está instalado el adaptador de red para el contenedor. Los contenedores de Windows Server usan un adaptador de red virtual host para conectarse al conmutador virtual. El aislamiento de Hyper-V usa un adaptador de red de máquina virtual sintética (no expuesto a la máquina virtual de la utilidad) para conectarse al conmutador virtual.
Ejecute el siguiente cmdlet de PowerShell para obtener todos los compartimientos de red en la pila de protocolos:
Get-NetCompartment
Seguridad de las redes
Según el contenedor y el controlador de red que se usen, las ACL de puerto se aplican mediante una combinación del Firewall de Windows y la Plataforma de filtrado virtual de Azure (VFP).
Contenedores de Windows Server
Los valores siguientes usan el firewall de los hosts de Windows (optimizados con espacios de nombres de red) y VFP:
- Salida predeterminada: ALLOW ALL
- Entrada predeterminada: PERMITIR TODO (TCP, UDP, ICMP, IGMP) tráfico de red no solicitado
- DENY TODO el tráfico de red que no procede de estos protocolos
Nota:
Antes de windows Server versión 1709 y Windows 10 Fall Creators Update, la regla de entrada predeterminada era DENY all. Los usuarios que ejecutan estas versiones anteriores pueden crear reglas ALLOW entrantes con docker run -p (reenvío de puertos).
Aislamiento de Hyper-V
Los contenedores que se ejecutan en el aislamiento de Hyper-V tienen su propio kernel aislado y, por tanto, ejecutan su propia instancia de Firewall de Windows con la siguiente configuración:
- Allow ALL predeterminado en Firewall de Windows (que se ejecuta en la máquina virtual de la utilidad) y VFP.
Pods de Kubernetes
En un pod de Kubernetes, primero se crea un contenedor de infraestructura al que se adjunta un punto de conexión. Los contenedores que pertenecen al mismo pod, incluidos los contenedores de infraestructura y de trabajo, comparten un espacio de nombres de red común (como la misma dirección IP y el mismo espacio de puertos).
Personalización de ACL de puerto predeterminadas
Si desea modificar las ACL de puerto predeterminadas, revise el tema Servicio de redes de host antes de cambiar los puertos. Deberá actualizar las directivas dentro de los siguientes componentes:
Nota:
En el caso del aislamiento de Hyper-V en modo Transparente y NAT, actualmente no se pueden volver a configurar las ACL de puerto predeterminadas, que se reflejan mediante una "X" en la tabla siguiente:
| Controlador de red | Contenedores de Windows Server | Aislamiento de Hyper-V |
|---|---|---|
| Transparente | Firewall de Windows | X |
| NAT | Firewall de Windows | X |
| L2Bridge | Ambos | VFP |
| L2Tunnel | Ambos | VFP |
| Overlay | Ambos | VFP |