Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Isolation avec des espaces de noms réseau
Chaque point de terminaison de conteneur est placé dans son propre espace de noms réseau . La carte réseau virtuelle et la pile réseau de l'hôte de gestion se trouvent dans l'espace de noms réseau par défaut. Pour appliquer l’isolation réseau entre les conteneurs sur le même hôte, un espace de noms réseau est créé pour chaque conteneur Windows Server. Les conteneurs sont exécutés avec l'isolation Hyper-V, dans laquelle est installée la carte réseau du conteneur. Les conteneurs Windows Server utilisent une carte réseau virtuelle hôte pour l’attacher au commutateur virtuel. L'isolation Hyper-V utilise un adaptateur réseau de machine virtuelle synthétique (non exposé à la machine virtuelle utilitaire) afin de se connecter au commutateur virtuel.
isolation 
Exécutez l’applet de commande PowerShell suivante pour obtenir tous les compartiments réseau dans la pile de protocoles :
Get-NetCompartment
Sécurité réseau
Selon le conteneur et le pilote réseau utilisés, les ACL de port sont appliquées par une combinaison du Pare-feu Windows et Plateforme de Filtrage Virtuel Azure (VFP).
Conteneurs Windows Server
Les valeurs suivantes utilisent le pare-feu des hôtes Windows (enrichi avec les espaces de noms réseau) ainsi que VFP :
- Trafic sortant par défaut : AUTORISER TOUT
- Trafic entrant par défaut : autoriser tout (TCP, UDP, ICMP, IGMP) trafic réseau non sollicité
- REFUSER TOUT le trafic réseau différent de ces protocoles
Remarque
Avant Windows Server version 1709 et Windows 10 Fall Creators Update, la règle de trafic entrant par défaut était DENY all. Les utilisateurs exécutant ces versions antérieures peuvent créer des règles ALLOW entrantes avec docker run -p (transfert de port).
Isolation Hyper-V
Les conteneurs s’exécutant dans Hyper-V isolation ont leur propre noyau isolé, et par conséquent, exécutent leur propre instance du Pare-feu Windows avec la configuration suivante :
- ALLOW ALL par défaut dans le Pare-feu Windows (en cours d’exécution dans la machine virtuelle utilitaire) et VFP.
isolation de pare-feu
Pods Kubernetes
Dans un pod Kubernetes, un conteneur d’infrastructure est créé pour la première fois auquel un point de terminaison est attaché. Les conteneurs appartenant au même pod, y compris les conteneurs d’infrastructure et de travail, partagent un espace de noms réseau commun (par exemple, la même adresse IP et le même espace de port).
Personnalisation des listes de contrôle d’accès de port par défaut
Si vous souhaitez modifier les listes de contrôle d’accès de port par défaut, passez en revue la rubrique Service de mise en réseau hôte avant de modifier les ports. Vous devez mettre à jour les stratégies à l’intérieur des composants suivants :
Remarque
Pour Hyper-V isolation en mode Transparent et NAT, vous ne pouvez pas reconfigurer les ACL de port par défaut, ce qui est reflété par un « X » dans le tableau ci-dessous :
| Pilote réseau | Conteneurs Windows Server | Isolation Hyper-V |
|---|---|---|
| Transparent | Pare-feu Windows | X |
| NAT | Pare-feu Windows | X |
| L2Bridge | Les deux | VFP |
| L2Tunnel | Les deux | VFP |
| Superposition | Les deux | VFP |